为什么说 NAT1 环境不安全?

2020-02-06 23:13:27 +08:00
 ZeroKong
RT
在爱快软路由设置的时候有这么一句话
风险提示: 此模式下网络安全风险较高,请谨慎选择
10098 次点击
所在节点    宽带症候群
14 条回复
PESH
2020-02-06 23:23:36 +08:00
就是可通过扫 IP 等 进到你家路由~查看到你手机里的 XX 图片~所以 NAT1 不太安全
cwbsw
2020-02-06 23:25:58 +08:00
复制粘贴一段。

考虑到 UDP 的无状态特性,目前针对其的 NAT 实现大致可分为 Full Cone、Restricted Cone、Port Restricted Cone 和 Symmetric NAT 四种。值得指出的是,对于 TCP 协议而言,一般来说,目前 NAT 中针对 TCP 的实现基本上是一致的,其间并不存在太大差异,这是因为 TCP 协议本身便是面向连接的,因此无需考虑网络连接无状态所带来复杂性。

用语定义

1.内部 Tuple:指内部主机的私有地址和端口号所构成的二元组,即内部主机所发送报文的源地址、端口所构成的二元组
2.外部 Tuple:指内部 Tuple 经过 NAT 的源地址 /端口转换之后,所获得的外部地址、端口所构成的二元组,即外部主机收到经 NAT 转换之后的报文时,它所看到的该报文的源地址(通常是 NAT 设备的地址)和源端口
3.目标 Tuple:指外部主机的地址、端口所构成的二元组,即内部主机所发送报文的目标地址、端口所构成的二元组

详细释义

1. Full Cone NAT:所有来自同一个内部 Tuple X 的请求均被 NAT 转换至同一个外部 Tuple Y,而不管这些请求是不是属于同一个应用或者是多个应用的。除此之外,当 X-Y 的转换关系建立之后,任意外部主机均可随时将 Y 中的地址和端口作为目标地址和目标端口,向内部主机发送 UDP 报文,由于对外部请求的来源无任何限制,因此这种方式虽然足够简单,但却不那么安全

2. Restricted Cone NAT:它是 Full Cone 的受限版本:所有来自同一个内部 Tuple X 的请求均被 NAT 转换至同一个外部 Tuple Y,这与 Full Cone 相同,但不同的是,只有当内部主机曾经发送过报文给外部主机(假设其 IP 地址为 Z )后,外部主机才能以 Y 中的信息作为目标地址和目标端口,向内部主机发送 UDP 请求报文,这意味着,NAT 设备只向内转发(目标地址 /端口转换)那些来自于当前已知的外部主机的 UDP 报文,从而保障了外部请求来源的安全性

3. Port Restricted Cone NAT:它是 Restricted Cone NAT 的进一步受限版。只有当内部主机曾经发送过报文给外部主机(假设其 IP 地址为 Z 且端口为 P )之后,外部主机才能以 Y 中的信息作为目标地址和目标端口,向内部主机发送 UDP 报文,同时,其请求报文的源端口必须为 P,这一要求进一步强化了对外部报文请求来源的限制,从而较 Restrictd Cone 更具安全性

4. Symmetric NAT:这是一种比所有 Cone NAT 都要更为灵活的转换方式:在 Cone NAT 中,内部主机的内部 Tuple 与外部 Tuple 的转换映射关系是独立于内部主机所发出的 UDP 报文中的目标地址及端口的,即与目标 Tuple 无关;在 Symmetric NAT 中,目标 Tuple 则成为了 NAT 设备建立转换关系的一个重要考量:只有来自于同一个内部 Tuple、且针对同一目标 Tuple 的请求才被 NAT 转换至同一个外部 Tuple,否则的话,NAT 将为之分配一个新的外部 Tuple ;打个比方,当内部主机以相同的内部 Tuple 对 2 个不同的目标 Tuple 发送 UDP 报文时,此时 NAT 将会为内部主机分配两个不同的外部 Tuple,并且建立起两个不同的内、外部 Tuple 转换关系。与此同时,只有接收到了内部主机所发送的数据包的外部主机才能向内部主机返回 UDP 报文,这里对外部返回报文来源的限制是与 Port Restricted Cone 一致的。不难看出,如果说 Full Cone 是要求最宽松 NAT UDP 转换方式,那么,Symmetric NAT 则是要求最严格的 NAT 方式,其不仅体现在转换关系的建立上,而且还体现在对外部报文来源的限制方面。
leafleave
2020-02-06 23:33:23 +08:00
nat1 看起来跟连接 vps 差不多,会有人扫描你的常见端口利用漏洞侵入
westerndream
2020-02-06 23:43:36 +08:00
nat1 在 nat 映射还没因超时关闭端口的时候,公网上任意主机可以通过这个映射连入你内网对应的主机的端口,就万一有漏洞什么的可能会有问题
AllenHua
2020-02-07 09:47:23 +08:00
@cwbsw #2 想起了俺的毕业论文。。。

确实如此。足够简单,足够暴露,但不够安全。
optional
2020-02-07 11:50:18 +08:00
nat1 相当于 upnp 的 udp 端口映射
dream7758522
2020-02-07 12:45:11 +08:00
有啥小软件可以看当前网络状态?
n0way404
2020-02-07 14:56:06 +08:00
@optional
What is My IP & NAT - STUNner
n0way404
2020-02-07 15:01:05 +08:00
@dream7758522 楼上 @错了。。。。

What is My IP & NAT - STUNner
geekvcn
2020-02-07 16:05:25 +08:00
NAT1 就相当于武汉封城前不管有病的还是没病的随意进出车站,NAT2 就相当于在车站加个检测体温的必须先量你体温,通过体温检测才让你进车站,NAT3 相当于在量体温的基础上人家确定你必须是是非华南海鲜市场周围的人才让你进站,NAT4 相当于武汉封城封路,只有武汉主动对外求助的物资或支援人员才让进武汉,并安排指定路线,开辟一个绿色通道,虽然都是物资和支援人员,但不同地方来的安排的也是不同绿色通道。NAT1 是非常危险的,但是 p2p 连通性最好,NAT4 是最安全的,但 p2p 连通性最差,只能联通 NAT1,所有人无法主动连接你。没有 p2p 需求,比如 p2p 下载,多人互相联机,让各种视频直播网站偷上传的需求,无脑跟风 NAT1 的基本是脑残,但 NAT1 比起常用标准端口暴露也不是那么危险
850521109
2020-02-07 19:40:12 +08:00
我的是移动内网 IP 现在是 full cone nat 不知道有没有风险
1643383982
2020-02-10 02:41:51 +08:00
nat1...我为了方便吧群晖暴露在公网之后一天被扫 800 遍
cdh1075
2020-02-11 18:14:58 +08:00
无所谓,以前运营商不让用路由器不都是直接暴露在公网上,nat1 只会暴露几十秒
ntgeralt
2020-03-13 01:04:59 +08:00
你公网的时候,真的要扫你 22 端口,你用 nat1234 全部都扫到。所以问题是:你为什么要暴露 22 端口出去?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/642653

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX