好友老张是个摄影爱好者,喜欢将旅行中所见所闻通过相机记录下来,时间久了,照片、视频越积越多,希望随时随地传回家中的电脑中保存并在创作时随时调阅,出于照片视频版权安全问题,他不打算采用网盘转存。苦于家庭宽带采用的是中国联通两百兆网线入户,如果不借住第三方设备难于实现。花生壳盒子完美的提供了技术解决方案。花生壳盒子由上海贝锐信息科技有限公司针对作为网络技术小白的普通大众推出的一款特殊设备,其强有力的内网穿透技术轻松帮助老张实现愿望。
1.内网穿透
穿透内网是花生壳盒子唯一的特性功能,与NAPT(网络地址端口映射)、动态域名解析跟反向代理转发这三项技术息息相关。说到NAPT,其实大家几乎每天都在使用,比如手机连接wifi上网,手机获得的地址是如同..*.*之类的私有网络地址,要上网就必须由网关进行NAPT转换成公网地址才能保证通讯数据有去有回,否则的话,你只能发出信息,却收不到对方的回应,因为根据网络设计规则,公网路由器是对目的地址为私有网段的ip数据包不做转发的,就如同古代战争中的通讯兵送完情报后回来的路上被敌军斩首,信息有去无回。有了NAPT技术,多部手机电脑,也有可能你儿子同时在玩网络游戏,可以共用运营商提供的仅有的一个不固定的公网IP地址上网,转换过程如下图所示:假设你老婆电脑地址为..1.2正在访问公网上地址为6.6.6.6服务器,服务端口号为,
由NAPT实现通讯的机制,我们可以看出,花生壳盒子广告语中内网穿透无需公网地址是不够准确的,公网前面应该增加固定二字,如果没有公网地址,你连门都出不了何谈穿透?所以大家不要被广告语误导,也希望商家广告语要严谨一些。
动态域名是该公司的传统业务,从公司创立之处就做为研发主攻方向。该公司也是国内仅有的几家提供这一业务的老牌服务商。该技术方便用户通过固定的域名快速查询到非固定公网ip地址这一业务需求,进而对外提供网络服务。前提是要求服务器的拥有者首先要在该公司业务系统中注册一个全网唯一的域名,并绑定到自己的ip地址上。动态域名的唯一特点就是名固定而地址不固定,也就是连接互联网的网关每次重启后,申请到的ip地址是不相同的,但都能被绑定到固定域名上,名总比一串数字好记忆,你只需记住名就可以了。但由于花生壳盒子的功能是要穿透内网,域名在技术设计层面做了处理后被绑定到反向代理服务器地址,该服务器可以同时承载多个客户的数据转发。可以在花生壳盒子手机app中查看到如下图示,
图中可以看到注册的域名指向了转发服务器地址.46..43,而电信分配给内网网关的不固定地址则是开头的地址。
但这两个地址借助NAT技术在代理服务器上能实现自动转换,使的外网业务请求终端能够按照固定的域名访问到内网网关,变相的实现了域名与不固定ip地址的绑定。
代理服务有正向跟反向之分,正向代理一般用来隐藏内部网络计算机信息从而提供一种信息安全的防火墙技术。当内部计算机对公网计算机请求数据服务时,首先将请求发给代理服务器,有代理服务器转发给目的服务器,而目的服务器则对代理服务器身后的实际请求客户机一无所知,送回的数据包也是先传送给代理服务器,由后者转发给请求的计算机。可以看出正向代理服务请求是从内部网络发起。反向代理则不然,代理服务请求是从外部发起,也就是公网远端的终端机器(比如你旅游在外时连接上网的智能手机)向反向代理服务器针对本地网络内部计算机发起的代理服务请求,内网中的服务器对实际请求客户机无从知晓。
假设你家中已经配置好了花生壳盒子以及台式电脑也配置为文件服务器,当你在外旅行时想把手机拍摄的照片保存到文件服务器,手机浏览器首先对地址栏输入的域名(先前注册绑定的动态域名)发出域名解析请求,移动运营商域名服务器将请求转发给上海贝锐公司的域名服务器,后者将域名指向的反向代理服务器地址(如上文提到的.46..43)传回给手机,然后手机浏览器将业务请求发给反向代理服务器,反向代理服务器内有NAPT映射表,能够实现ip数据包的目的地址被转换为你家中宽带的公网入口网关地址上,保证业务请求准确无误的转发至你家中的文件服务器,通过服务器登录验证后,你就可以把照片上传到文件服务器,对你来说看到的只是你服务器,实际上你的照片要先发给反向代理服务器,有其代替你的手机把相片转存到你的文件服务器上,反之亦然。
通过对花生壳盒子近几日不断的体验和思考,大胆猜测数据流应该是在反向代理服务器跟盒子间建立TCP连接并传输,业务请求数据包到达盒子后,由盒子转发给内部服务器。
有了这个思路,剩下的就是想方设法抓取盒子流进流出的ip数据包然后通过分析该数据包来验证猜测。首先将盒子跟FTP服务器置于..62.*网段,盒子地址为..62.,服务器地址为..62.,服务器上安装抓包工具wireshark。然后手机连接移动4G并通过浏览器登录文件服务器,登录后可以看到已经事先保存在服务器的文件shortcup-ftp80port.jpg,
抓包工具抓到了大量的原地址为..62.目的地址为..62.的TCP包,并通过分析数据包可以看到了服务器先前已经存储的图片文件名,
通过查看所有的抓包,未曾找到原地址为手机地址或者外网转发服务器的地址。盒子对内网的转发功能得证。
接下来就是抓取反向代理服务器跟盒子通讯的ip包。花生壳盒子作为一种商业产品,肯定进行了安全设计考虑,两者间的通讯数据很有可能经过了某种加密算法或者公司私有协议,因此我们抓到的数据包原文基本上可以肯定是乱码。不过可以通过在传输文件时能抓取到两者间的大量报文,即可验证之前的推断。测试环境调整如下,在第二台电脑上win10开启热点跟抓包工具并监控热点的虚拟网卡,将盒子跟文件服务连接到该wifi,盒子
