NAT端口映射協議

NAT端口映射協議(英語:NAT Port Mapping Protocol,縮寫NAT-PMP)是一個能自動建立網絡地址轉換(NAT)設置和端口映射配置而無需用戶介入的網絡協議。該協議能自動測定NAT網關的外部IPv4地址,並為應用程序提供與對等端交流通信的方法。NAT-PMP於2005年由蘋果公司推出,為更常見的ISO標準互聯網網關設備協議(被許多NAT路由器實現)的一個替代品[1]。該協議由互聯網工程任務組(IETF)在RFC 6886中發布。

NAT-PMP使用用戶數據報協議(UDP),在5351端口運行。該協議沒有內置的身份驗證機制,因為轉發一個端口通常不允許任何活動,也不能用STUN方法實現。NAT-PMP相比STUN的好處是它不需要STUN服務器,並且NAT-PMP映射有一個已知的過期時間,應用可以避免低效地發送保活數據包。

NAT-PMP是端口控制協議英語Port Control Protocol(PCP)的前身。

安全隱患

2014年10月,Rapid7安全研究員Jon Hart公布,因廠商對NAT-PMP協議設計不當,估計公網上有1200萬台網絡設備受到NAT-PMP漏洞的影響。NAT-PMP協議的規範中特別指明,NAT網關不能接受來自外網的地址映射請求,但一些廠商的設計並未遵守此規定。黑客可能對這些設備進行惡意的端口映射,進行流量反彈、代理等攻擊。[2]

參見

參考資料

  1. ^ AirPort Utility 6.x: 设定基站或 AirPort Time Capsule 的 NAT 选项. Apple 支持. 2013-11-11 [2018-05-26]. (原始內容存檔於2015-02-14). 
  2. ^ NAT-PMP协议漏洞将1200万路由器置于风险之中. freebuf. 2014-10-27 [2018-05-26]. (原始內容存檔於2018-07-09). 

外部連結