마지막 질문입니다. ㅜㅜ Port Restricted Cone 질문드려요

Reg. Date: July 20, 2013 By J

해외문서나 국내문서를 20장 정도 읽었는데 블로그나 이런데 써있는 자료는 정말 믿지 못할정도로 가짜로 써있는 자료가 많은것 같아요..

헷갈리기만 하고 있습니다.

symmetrc 은 목적지에따라 port가 바뀌고 Port Restricted Cone 은 symmetric 과 다르게 목적지에 따라 port가 안바뀐다고(동일한 port 사용) 문서를 읽었는데 또 다른문서에는 똑같이 바뀐다고 써있네요 --;;;;

각각의 특징은 파악 하였으나 보통 디바이스에서 상단에 있는 NAT 장비의 특성이 무엇인지 Port Restricted Cone 과 symmetric 만을 비교하여 추려낼려고 할때 외부 서버를 이용하여 목적지에 따라 바뀌는 port로 추려내면 될련지요..

아 이거 미치겠습니다 ㅋ;;;

블로그글을 보면 가짜글들이 하도 많아서 뭐가 진짜동작 설명인지 모르겠습니다...

마지막으로 부탁드립니다 제 뇌에 정확한 지식을...ㅠㅠ

J 2013-07-21 18:28:14

STUN 의 표준을 보면 test 1 2 3 를 보내는 알고리즘에는 full cone을 구별한 이후의 과정을 보면 다시보낸 패킷에 들어있는 ip 로 symmetric 인지 파악하고 또 한번의 port test로 port restricted 인지 restricted인지 판별합니다. 그럼 ip가 변하는것인데... 저는 잘 이해가 잘 안됩니다..세션을 끊는 과정도 없이 ip가 변하는지도 궁금하구요......바뀌는 port 만으로 symmetric과 port restricted cone을 구별하면 오류가 있는지도 궁금하구요......답답하고 어렵습니다

넷매니아즈 2013-07-22 10:22:20

전 처음에 넷매니아즈 블로그가 못믿을 글이라 써놓으실줄 알고 깜짝 놀랐었습니다. ^^*

개념에 혼동이 오실때에는 표준 문서를 기준으로 생각하시는게 옳습니다.

RFC 3489에 정의는 다음과 같습니다.
■ Restricted Cone
[Mapping Behavior] A restricted cone NAT is one where all requests from the same internal IP
address and port are mapped to the same external IP address and port. [Filtering Behavior] Unlike a
full cone NAT, an external host (with IP address X) can send a packet to the internal host only if the
internal host had previously sent a packet to IP address X.

■ Port Restricted Cone
[Mapping Behavior] A port restricted cone NAT is like a restricted cone NAT, [Filtering Behavior]
but the restriction includes port numbers. Specifically, an external host can send a packet, with source
IP address X and source port P, to the internal host only if the internal host had previously sent a
packet to IP address X and port P.

■ Symmetric
[Mapping Behavior] A symmetric NAT is one where all requests from the same internal IP address and
port, to a specific destination IP address and port, are mapped to the same external IP address and
port. If the same host sends a packet with the same source address and port, but to a different
destination, a different mapping is used. [Filtering Behavior] Furthermore, only the external host
that receives a packet can send a UDP packet back to the internal host.

[Mapping Behavior 관점에서 Port Restricted Cone vs. Symmetric]
- Port Restricted Cone NAT는 "Source IP, Source Port"만 같다면 "Destination IP, Destination Port"가 무슨 값이든 상관없이 동일한 External Port를 할당합니다. (즉, Port가 변경되지 않음) = Endpoint-Independent Mapping
- Symmetric NAT는 "Source IP, Source Port, Destination IP, Destination Port" 중에 하나라도 값이 다르면 다른 External Port를 할당합니다. = Address and Port-Dependent Mapping

따라서 말씀 중에 "symmetric 은 목적지(Destination IP & Destination Port)에 따라 port가 바뀌고 Port Restricted Cone 은 symmetric 과 다르게 목적지((Destination IP & Destination Port)에 따라 port가 안바뀐다고(동일한 port 사용)"가 맞습니다.

넷매니아즈 2013-07-22 10:41:54

STUN 테스트(RFC 3489)에 대한 답변을 드리면, 결론적으로 테스트 중에 IP가 바뀌는 경우는 없습니다.
RFC 3489에 Figure 2를 보시면 Test I -> Test II -> Test I(편의상 Test I'로 표기) -> Test III 순으로 시험을 수행하게 되어 있습니다.

■ Symmetric NAT 검출법
- Test I에서 Primary Destination IP(1.1.1.1), Primary Destination Port(3478)로 보낸 패킷에 대한 응답 메시지의 MAPPED-ADDRESS 필드(5.5.5.1, 40000)와
- Test I'에서 Alternate Destination IP(2.2.2.2), Alternate Destination Port(3479)로 보낸 패킷에 대한 응답 메시지의 MAPPED-ADDRESS값(5.5.5.1, 50000)이
- 서로 다르면 Symmetric으로 판단합니다. (왜냐면 NAT Mapping Behavior 관점에서 Full Con, Restricted Con, Port Restricted Con은 모두 Endpoint-Independent Mapping의 특성을 가지는 반면 Symmetric은 Address and Port-Dependent Mapping의 특성을 가집니다. 본 테스트를 통해 서로 다른 목적지 정보(1.1.1.1:3478과 2.2.2.2:3470)를 가진 2개의 패킷에 대해 서로 다른 External Port(40000과 50000)로 매핑 되었으므로 Symmetric NAT입니다)

■ Port Restricted Cone NAT 검출법
- 위 Symmetric에서 설명한 Test I과 Test I'의 결과가 동일(MAPPED-ADDRESS의 값) 한 경우 Test III를 수행하게 되며
- Test III에서 Primary Destination IP(1.1.1.1), Primary Destination Port(3478)로 패킷을 보내는데, 이 때 CHANGE-REQUEST에 "change-port" 필드를 set 하여 STUN 서버가 이에 대한 응답을 줄 때 Source Port를 3478이 아닌 Alternate Port인 3479로 응답을 주게 됩니다. 이 패킷이 통과하면 Address-Dependent Filtering 특성을 가진 것이므로 Restricted Cone이 되고, 이 패킷이 drop되면 Address and Port-Dependent Filtering 특성을 가진 것이므로 Port Restricted Cone으로 판정을 합니다.

STUN 검출은 크게 3가지 정도의 방법이 있을 듯 합니다.
1. 웹에서 STUN으로 검색하시어 웹 기반으로 내 상단에 어떤 NAT가 있는지 검출
2. 모바일단말용 APP 설치 후 시험
3. Linux 기반의 Client, Server 각 1대씩 준비 후, Open Source (예. STUNTMAN, JSTUN) 설치 후 시험

J 2013-07-22 14:18:57

그럴리가요 넷매니아자료는 믿어 의심치 않습니다. 제가 말씀드린거는 네이버 블로그 같은 곳에 써있는 자료들이었습니다^^ 이거 항상 도움만 받고가네요 정말 감사드립니다. 개념 다 잡혔습니다 정말 시원하게 긁어주셔서 감사드립니다

Thank you for visiting Netmanias! Please leave your comment if you have a question or suggestion.

Comment

넷매니아즈 회원 가입 하기

2020년 1월 현재 넷매니아즈 회원은 47,000+분입니다.

넷매니아즈 회원 가입을 하시면,

► 넷매니아즈 신규 컨텐츠 발행 소식 등의 정보를 이메일 뉴스레터로

발송해드립니다.

► 넷매니아즈의 모든 컨텐츠를 pdf 파일로 다운로드받으실 수 있습니다.

Company	주요 컨텐츠	국내기업 마켓팅 서비스	다국적 기업 마켓팅 서비스	기술 컨설팅
회사 소개	리포트	국내기업의 해외 사업자 컨설팅	스폰서 채널 서비스	컨설팅 서비스
넷매니아즈 사이트 소개	기술문서	글로벌 마켓팅 서비스	광고 안내
회원 가입하기	테크-블로그	영문 기술문서 작성 대행 서비스
이용 약관	원샷 갤러리	광고 안내
영문 사이트	네트워크/통신 뉴스
LinkedIn	한국 ICT 총람

상호: (주)엔앰씨컨설팅그룹 주소: 서울시 강남구 테헤란로 128, 3층 387호 대표이사: 손장우 전화: 02-3444-5747 메일: webmaster@netmanias.com

등록번호: 서울 아03722 제호: 넷매니아즈 등록일자: 2015년 5월 4일 발행/편집인: 손장우 청소년보호책임자: 이수정

주소:

본사: 서울시 강남구 테헤란로 128, 3층 387호

Netmanias USA: 5214 36th Ave. NE Seattle, WA 98105 USA