...

NAT越え - GOTO Laboratory

by user

on
Category: Documents
22

views

Report

Comments

Transcript

NAT越え - GOTO Laboratory
大規模NATを越えるための
UDP Multi Hole Punchingの拡張
コンピュータ・ネットワーク工学科 4年
後藤滋樹研究室
戸部 和洋 (1G06R140-0)
卒業論文審査会
February 1, 2010
Kazuhiro TOBE, GOTO Laboratory,
Dept. of Computer Science and Engineering
1
研究の背景 (1)
Network Address Translator (NAT) の問題
UDP Hole Punching
NATの問題点
• NATは外側から接続できない
• NATの内側のホストのアドレス
は外側からわからない
• インバウンドの開始パケット
(initiation packet) を破棄する NAT
private
address
realm
global address
realm
the
Internet
越え
host-A
NAT-B
host-B
(1)host-Aの外部IP,
外部portがわかる
(2)host-Bの外部IP,
外部portがわかる
(3)host-Bと通信したいな
(5)戻りパケットを
期待して穴が空く
NATは外側から
接続できない
rendezvous
server
NAT-A
(8)戻りパケットと
して転送される
(4) host-Bは(A, P)にいます
host-Bにもお知らせしますね
(6)知らない相手
のパケットは破棄
(7)戻りパケットを
期待して穴が空く
(9)戻りパケットと
して転送される
UDP Hole Punchingによって、NATを越えて相手と直接通信(NAT越え)できる。
Kazuhiro TOBE, GOTO Laboratory,
卒業論文審査会
February
1, 2010 NATに限る。
Dept. ofi.e.
Computer
Science and
Engineering
※ただし、Cone
Symmetric
NATは(普通には)越えられない。
2
既存手法
UDP Multi Hole Punching
• UDP Hole Punching
の改良版
NAT-A
server-A server-B
host-A (Cone NAT)
• 2台のサーバとの通信
によるポート予測
• 低いTTLに設定した
UDPパケットを大量送信
• Symmetric NATをリレー
サーバなしで越えられる
• サーバに低負荷・低遅延
• cf. TURN, ICE, Teredo
(Symmetric NAT) host-B
(7)
Time
Exceeded
(8)
(9)
当時はこれでよかったが・・・
卒業論文審査会
February 1, 2010
NAT-B
Kazuhiro TOBE, GOTO Laboratory,
Dept. of Computer Science and Engineering
(10)
(11)
3
研究の背景 (2)
大規模NAT (Large Scale NAT)
[Huston] G. Huston, “IPv4 Address Report”,
http://www.potaroo.net/tools/ipv4/index.html
• IPv4アドレスの在庫枯渇が迫る (IANA:2011, RIR:2012) [Huston]
• ISPは大規模NAT (Large Scale NAT/
the
Carrier Grade NAT) の配置を計画
global
Internet
• NATの多段接続
• NAT越えが難しくなる
Large Scale
NAT
address
realm
e.g. UPnPは機能しない
• ポート番号の制限
• 同時セッション数の制限
e.g. Google Maps
UDP Multi Hole
Punching
の改良が必要
private
address
realm
home
network
ISP
network
home
NAT
home
network
ISP shared
address
realm
ISP
network
home NAT
home
network
home
network
ポート数の制限
• NATで使えるポート数
にはかぎりがある
• 約60000個 (=216-1024) の
ポート番号を複数のユーザで
共有するため
「虫食い」のGoogle Maps
•
大規模NATにポート数が制限されて、
虫食い状態になったGoogle Maps
• 高速化のため、大量の
セッションを同時に張る
アプリケーションがある
• iTunes (230~270)
• Amazon (90)
• ニコニコ動画 (50~80)
卒業論文審査会
February 1, 2010
このページの図と測定値はすべて以下の文献から引用しています。
[Miyakawa] 宮川 晋, “インターネット10分講座:大規模NAT
(Large Scale NAT:LSN) あるいはキャリアグレードNAT(CGN)”,
http://www.nic.ad.jp/ja/newsletter/No41/0800.html
Kazuhiro TOBE, GOTO Laboratory,
Dept. of Computer Science and Engineering
5
背景のまとめと研究の目的
• 大規模NATや集合団地におけるNATの配置
• NATの多段接続
• 利用可能ポート番号の制限
⇒ UDP Multi Hole Punching(既存のNAT越え手法)による
Symmetric NAT越えの可能性が低下
• 大規模NAT環境においても、UDP Multi Hole Punchingが
効率的に利用できるように技術を拡張
• ポート予測 (Port Prediction)
• Low TTL Value Determination
卒業論文審査会
February 1, 2010
Kazuhiro TOBE, GOTO Laboratory,
Dept. of Computer Science and Engineering
6
Mapping Behavior
• Address and Port-Dependent Mapping (Symmetric NAT)
internal
network
Host-L
Addr: AL
Local
Global
Remote
<AL, PL> <AN, PN> <AR, PR>
<AL, PL> <AN, PN’> <AX, PR’>
<AL, PL> <AN, PN’’> <AX, PR’’>
PN
external network
PR
PN’ NAT
PN’’ Addr: Na
mapped a new port (PN’)
mapped a new port (PN’’)
PL
Hole Punching must predict this new port (PN’’).
PR’
PX
Host-R
Addr: AR
Host-X
Addr: AX (≠AR)
NAT maps a new endpoint when a local host (Host-L) sends a packet to any
external endpoints which Host-L hasn’t sent a packet, if the NAT behaves as
“Endpoint-Independent Mapping”. This NAT was once called “Symmetric NAT”.
ポート予測 (Port Prediction)
• NATが割り当てるポートの規則性を調べ、
次に割り当てられるポートを予測する技術
• これが成功すれば、Hole PunchingでSymmetric NATを越えられる
+1
+1
+1
規則性あり
(Predictable)
Randomの場合
手当たり次第に
大量のパケットを送
信するしかない(最
後の手段)
-4
-4
- 61 !?
規則性なし
(Random)
既存手法の問題点1
ポート予測 (Port Prediction) における問題
問題点1. 同じNATに他のホストがいる場合、
ポート予測が正しく行えない可能性がある
• 自分以外のホストの通信によっても、Symmetric
NATが新しいポートのマッピングを生成するため
• Predictable (e.g. Incremental) にもかかわらず、
Randomと誤判定してしまう可能性がある
「最後の手段」として大量のポートをオープン
⇒ 大規模NATのポートを食い尽くしてしまう
提案手法1
Port Predictionの拡張
解決策1-a. キャプチャ法
• ポート予測中にLAN内のパケットをキャプチャ
• NATの外側の新しいあて先へパケットが流れて
いた場合、その数をポート予測で考慮する
• Predictableであるにもかかわらず、Randomと誤判定
してしまう可能性を減らすことができる
解決策1-b. スキャン法
• 所属するネットワーク上の全IPアドレスを確認
• 応答のあったノード数をポート予測で考慮する
卒業論文審査会
February 1, 2010
Kazuhiro TOBE, GOTO Laboratory,
Dept. of Computer Science and Engineering
10
キャプチャ法 vs. スキャン法
キャプチャ法
利点
利点
• ポート予測に追加時間
がほとんどかからない
欠点
• ユーザモードでも動作
(実装による)
欠点
• 管理者権限 (Windows) /
root権限 (Linux) が必要
• ハブでつながっている
マシンのトラヒックしか
キャプチャできない
卒業論文審査会
February 1, 2010
スキャン法
• 確率的な予測のみ
• スキャンのための時間
がかかる
• 攻撃として検知される
可能性あり (e.g. IDS)
Kazuhiro TOBE, GOTO Laboratory,
Dept. of Computer Science and Engineering
11
Low TTL Value Determination
• UDP Multi Hole PunchingはパケットのTTLを低く
設定1) して送信することで、自分側のNATを越えて、
相手側のNATに到達する前にパケットを破棄する
• Low TTL Value Determination:1) の値を決めるアルゴリズム
• UDP Multi Hole Punching : 「決めうち」
• NATBLASTER :「traceroute の方法」(提案のみ、未実装)
• e.g.) TTL = 2の場合
Time Exceeded
TTL => 0
TTL => 1
卒業論文審査会
February 1, 2010
NAT router
(1st hop)
TTLの値は次の条件を満たしていればよい
TTL > 1 ∧ TTL – 5 < 0 ∴ 1 < TTL < 5
router
(4th hop)
router
(2nd hop)
router
(3rd hop)
NAT router
(5th hop)
12
既存手法の問題点 (2)
Low TTL Value Determination における問題
• NATが多段の場合、自分側の一番外側のNATを越
えて相手側の一番外側のNATに到達する前にTTL
が0になればよいが・・・
• TTL > 2 ∧ TTL – 4 < 0
∴ 2 < TTL < 4
問題点2. NATがいくつ連なっているか判断できない
• Tracerouteで得られたルーターのIPアドレスから、NATか
どうか判断できることがあるが、ICMPを返さないルータがある
NAT router
(4th hop)
NAT router
(2nd hop)
卒業論文審査会
February 1, 2010
NAT router
(1st hop)
router
(3rd hop)
NAT router
(5th hop)
13
提案手法2
Low TTL Value Determinationの方法
解決策2. tracerouteやtracertでhop数を求め、
それを2で割った値をTTLとする
[仮定] NATは経路の両端に存在し、中央にはない(はず)
• 本手法は途中のルーターのIPアドレスを知る(NATか判
定する)必要がないためICMPが返されなくても問題ない
$ tracert 208.77.188.166
Tracing route to www.example.com [208.77.188.166]
over a maximum of 30 hops:
1
2
*
*
*
*
11
12
*
144 ms
*
147 ms
Trace complete.
*
Request timed out.
*
Request timed out.
(省略)
*
Request timed out.
146 ms www.example.com [208.77.188.166]
14
実装
Javaで実装
• 一部、Rubyで実装し、java.lang.Runtime#exec()で実行
• Javaでは、ユニキャストUDPパケットのTTLを設定できないため
• キャプチャ法
• Jpcapを利用
• libpcap / WinPcap のJavaラッパー
• スキャン法
• java.net.InetAddress#isReachable()
• (権限があれば)ICMP ECHO REQUEST
• (なければ)ポート 7 (Echo) で TCP 接続
卒業論文審査会
February 1, 2010
Kazuhiro TOBE, GOTO Laboratory,
Dept. of Computer Science and Engineering
15
実験用ネットワーク
(VMware ESXiによる仮想環境)
home NAT-2
home NAT-1
LSN-1
LSN-2
(flexNES) private
private (flexNES)
(flexNES) global realm (flexNES)
Linux
realm-2
realm-1.1
.2
.1
.2 Sym .1
.2 vs .1
.66
vs
router
.1
.65
(10.0.1.0/24)
(10.0.0.0/24)
vs
vs
virtual switch
virtual switch
(promiscuous mode)
ISP-1 (192.0.2.0 .129 (192.0.2.64/26) ISP-2
shared
.2
shared /26) virtual switch (vs)
.2
.3
address
address
.130
.131
realm
realm
internal host-1,2
internall host-3
(192.168.0.0/24)
(192.168.1.0/24)
external server-1, 2
(192.0.2.128/26)
※Sym = Symmetric NAT
※flexible NAT Emulation Server (flexNES)
= RFC4787に準拠したNATエミュレータ
実験用ネットワーク(論理図)
home NAT-1
private (flexNES)
realm-1.1
.2
LSN-1
LSN-2
(flexNES) global realm (flexNES)
Linux
.2
.1
.1
router .66
.1
.65
(10.0.1.0/24)
(10.0.0.0/24)
.2
.3
home NAT-2
(flexNES) private
realm-2
.2 Sym .1
ISP-1 (192.0.2.0 .129 (192.0.2.64/26) ISP-2
shared
shared /26)
address
address
.130
.131
realm
realm
.2
internal host-1,2
internall host-3
(192.168.0.0/24)
(192.168.1.0/24)
external server-1, 2
(192.0.2.128/26)
※Sym = Symmetric NAT
※flexible NAT Emulation Server (flexNES)
= RFC4787に準拠したNATエミュレータ
まとめと今後の課題
まとめ
UDP Multi Hole Punchingの拡張
• 必要以上のポートをオープンしてしまう問題の解決
• 通信経路上でNATが多段になっていても適応可能
今後の課題
Low TTL Value Determinationにおける仮定の妥当性の検討
• 「NATはエンドホストの近くに集中」
• 「経路の中央付近には存在しない」
卒業論文審査会
February 1, 2010
Kazuhiro TOBE, GOTO Laboratory,
Dept. of Computer Science and Engineering
18
ご清聴ありがとうございました
卒業論文審査会
February 1, 2010
Kazuhiro TOBE, GOTO Laboratory,
Dept. of Computer Science and Engineering
19
Fly UP