UDP hole punching


UDP-Lochschlagen

Unter UDP hole punching versteht man ein Verfahren mit dem P2P-Programme trotz Firewall eine Kommunikation aufbauen können. Normalerweise können zwei Rechner, die sich beide hinter einer Firewall befinden, keine direkte Kommunikation aufbauen. Rechner hinter einer Firewall sind durch die Network Address Translation aus dem Internet nicht direkt adressierbar. Selbst wenn man die übersetzte IP-Adresse eines solchen Rechners herausbekommt und versucht, über diese zu kommunizieren wird der Firewall der Gegenseite die Kommunikation aber jeweils unterbinden, weil sie nicht vom seinem Netz aus aufgebaut wurde (Stateful Packet Inspection).

Beim UDP hole punching wird mit Hilfe eines externen Vermittlungsservers trotzdem eine Kommunikation ermöglicht. Clients, die kommunikationsbereit sind, melden sich bei diesem externen Server an. Dadurch ist dem Firewall bekannt, dass er auch Pakete von diesem externen Server als Antwort durchlassen muss. Die Kommunikation der beiden Clients untereinander läuft dann jeweils über den Server, der die Pakete mit seiner Adresse als Absender weiterleitet.

Prinzipiell funktioniert dies auch mit TCP. Die Verbindungen durch den Firewall können sogar per SSL verschlüsselt werden, wenn der Vermittlungsserver als "Man in the Middle" SSL-Verbindungen mit den Clients hält. Das Verfahren wird aber trotzdem als UDP hole punching bezeichnet, weil es sich mit UDP besonders einfach umsetzen lässt, da beim verbindungslosen UDP ein Firewall nur die Quell- und Zieladresse zur Statusüberwachung heranziehen kann. Der Vermittlungsserver muss sich dadurch nicht kompliziert Verbindungsstati merken, wie dies bei TCP der Fall ist.

UDP hole punching wird zum Beipiel vom VoIP-Dienst Skype und von verschiedenen VPN-Diensten eingesetzt. Hacker können damit aber auch Rechner, die sie per Trojaner übernommen haben, trotz Firewall fernsteuern, weil die übernommenen Rechner von innen "ein Loch in die Brandmauer schlagen".

UDP hole punching hat es als STUN-Protokoll mit dem RFC 3489 sogar zu einem Quasistandard gebracht.

0-9|A|B|C|D|E|F|G|H|I|J|K|L|M|N|O|P|Q|R|S|T|U|V|W|X|Y|Z|alle

Suche im Lexikon nach im

 

Fachartikel

IT-Umgebung fit machen für das Medium Video [21.02.2018]

Genauso selbstverständlich wie im Privatleben möchten Mitarbeiter heute bei der Kommunikation am Arbeitsplatz Videos nutzen. Die IT steht vor der Herausforderung, das Medium Video in die vorhandenen Infrastrukturen zu integrieren und sieht sich dabei vor allem mit zwei zentralen Problemen konfrontiert: Zum einen wurden Netzwerke für einen eher kleinen Datenverkehr geschaffen. Zum anderen lassen sich Videos nicht ohne Weiteres einfach in den Fachsystemen für Content Management oder E-Learning einbauen. Der Artikel erklärt, wie eine Enterprise-Videoplattform helfen kann. [mehr]

Grundlagen

Distributed File System Replication [1.12.2017]

Die Distributed File System Replication ist seit vielen Server-Versionen ein probates Mittel, um freigegebene Dateibestände hochverfügbar zu machen oder bandbreitenschonend zwischen Standorten zu replizieren. Die Distributed File System Replication ist seit vielen Server-Versionen ein probates Mittel, um freigegebene Dateibestände hochverfügbar zu machen oder bandbreitenschonend zwischen Standorten zu replizieren. Doch ganz ohne Hürden kommt die Technologie nicht daher. [mehr]