基于UDP穿透NAT进行远程连接的原理

传统的远程连接软件一般使用NETBEUI、NETBIOS、IPX/SPX、TCP/IP等协议来实现远程连接，这要求远程连接的双方必须有一方有公网IP或者都处于同一个局域网内=。随着网络技术的发展，处于不同NAT后的远程连接需求越来越迫切。较之通过虚拟网卡利用中央服务器中转实现内网穿透，“基于UDP穿透NAT进行远程连接”则是一个最为优秀的解决方案。目前互联网世界真正实现了UDP穿透NAT技术的软件不多，其中做得比较出色的是国外的LogmeIn、GoTomyPC以及国产软件LoginAny。在此给大家介绍一下UDP 穿透NAT是如何实现的。

首先，非常有必要了解下UDP。

UDP是一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。换句话说：UDP本身是非常不安全的。如果UDP用来作为通讯媒介，那么安全性就是一个非常重要的问题，因为UDP的数据包很容易伪造，发送者的IP地址也经常被篡改。
    其次，我们来谈谈为什么要选择UDP。

LoginAny等软件采用UDP而不用IP数据包的原因是由于只要来源于安全的环境，大多数基于UDP运输之上的防火墙和NAT设备允许无缝双向沟通（从而有效地重新实施类似于TCP的运输层），但是对 TCP和 IP 数据包要做很大的改动，并且它们需要大量的重构TCP和IP数据包。

最后，再来分析一下UDP穿透NAT连接原理。

由不可靠的UDP数据包构造出一个可靠的类似于TCP的流，由SSL层提供全面指导加密，完整性保护和端点核查能力，从而进一步保护这个流。为了建立一个UDP穿透NAT连接，客户端和控制端都要向网关发送若干加密UDP数据包。这些数据包由与网关及其相关部分相同的密码加密，并与先前存在的SSL连接相通。因此，很难被模仿和伪造。

网关通过这些数据包来确定这两个实体的对外因特网的IP地址，而且还试图预测当发送UDP数据包时哪些防火墙端口将由用于沟通。通过试图建立直接连接的相应部分传递其发现的命令。如果网关能够成功地检测到端口命令，连接便会建立，其相应部分会互相改变而使用从网关获得的同一个密码，建立一个能够直接沟通的协议。如果不能建立直接连接，其相关部分会重新与基于TCP之上的网关相连，并要求使用一个转发的端对端加密的协议。

对于LoginAny这一类软件来说，UDP穿透NAT连接这整个过程只需几秒钟，并且这个过程对用户是完全公开透明的。其最显著的特点是在使用直接连接时更快的运行速度和更低的延迟性。