NAT埠對映協定

NAT埠對映協定（英語：NAT Port Mapping Protocol，縮寫NAT-PMP）是一個能自動建立網絡地址轉換（NAT）設置和埠對映組態而無需用戶介入的網絡協定。該協定能自動測定NAT閘道器的外部IPv4地址，並為應用程式提供與對等端交流通訊的方法。NAT-PMP於2005年由蘋果公司推出，為更常見的ISO標準互聯網閘道器裝置協定（被許多NAT路由器實現）的一個替代品^[1]。該協定由互聯網工程任務組（IETF）在RFC 6886中發佈。

NAT-PMP使用用戶數據報協定（UDP），在5351埠執行。該協定沒有內建的身份驗證機制，因為轉發一個埠通常不允許任何活動，也不能用STUN方法實現。NAT-PMP相比STUN的好處是它不需要STUN伺服器，並且NAT-PMP對映有一個已知的過期時間，應用可以避免低效地傳送保活封包。

NAT-PMP是埠控制協定（英語：Port Control Protocol）（PCP）的前身。

安全隱患

2014年10月，Rapid7安全研究員Jon Hart公佈，因廠商對NAT-PMP協定設計不當，估計公網上有1200萬台網絡裝置受到NAT-PMP漏洞的影響。NAT-PMP協定的規範中特別指明，NAT閘道器不能接受來自外網的地址對映請求，但一些廠商的設計並未遵守此規定。黑客可能對這些裝置進行惡意的埠對映，進行流量反彈、代理等攻擊。^[2]

參見

參考資料

^ AirPort Utility 6.x: 设定基站或 AirPort Time Capsule 的 NAT 选项. Apple 支援. 2013-11-11 [2018-05-26]. （原始內容存檔於2015-02-14）.
^ NAT-PMP协议漏洞将1200万路由器置于风险之中. freebuf. 2014-10-27 [2018-05-26]. （原始內容存檔於2018-07-09）.

外部連結

Bonjour協定規範（頁面存檔備份，存於互聯網檔案館）（英文）
another NAT-PMP explanation（頁面存檔備份，存於互聯網檔案館）（英文）
MiniUPnP（頁面存檔備份，存於互聯網檔案館） ANSI C，BSD許可證的函式庫，支援UPnP和NAT-PMP遍歷（客戶端和伺服器）

[1] AirPort Utility 6.x: 设定基站或 AirPort Time Capsule 的 NAT 选项. Apple 支援. 2013-11-11 [2018-05-26]. （原始內容存檔於2015-02-14）.

[2] NAT-PMP协议漏洞将1200万路由器置于风险之中. freebuf. 2014-10-27 [2018-05-26]. （原始內容存檔於2018-07-09）.

[1]

[2]