Trippy项目中基于UDP Dublin策略的NAT检测技术解析

背景与原理

Trippy作为一款网络诊断工具，其udp/dublin探测策略实现了一项关键技术：通过分析UDP校验和变化来检测传输路径中的NAT设备。这项技术的核心在于利用IPv4标识字段承载序列号，使得同一轮探测中所有UDP包的校验和保持恒定（因为虚拟头部不变）。

当数据包穿越NAT设备时，如果设备未按规范修正ICMP错误消息中嵌套的原始UDP数据包校验和，就会导致接收端观测到的校验和与发送端产生差异。通过对比各跳的校验和变化，可以精确定位NAT发生的位置。

技术实现细节

在典型探测过程中：

1. 发送端构造具有固定校验和（如0xe5fc）的UDP探测包
2. 中间设备返回ICMP Time Exceeded消息时，携带原始数据包信息
3. 接收端分析嵌套UDP头中的校验和：
   • 若与发送时一致（如第一跳0xe5fc），说明未发生NAT
   • 若出现新校验和（如第三跳0x8eb3），表明存在NAT设备
   • 后续跳保持相同异变校验和，说明NAT效果持续

规范符合性分析

通过深入研究RFC 3022和RFC 1631发现：

1. 规范仅要求NAT修改：
   • 嵌套IP头的校验和（Checksum A'）
   • ICMP头校验和（Checksum D）
   • 外层IP头校验和（Checksum C）
2. 未强制要求修改嵌套UDP头的校验和（Checksum B'）
3. 这使Dublin策略的NAT检测成为可能，但依赖于NAT设备的实现特性

实际应用观察

不同场景下的设备表现差异：

• 家用路由器：通常完全遵循透明性原则，会修正所有校验和，导致无法检测
• 移动网络CGNAT：常保留原始UDP校验和，使检测成为可能
• 企业级设备：行为取决于具体实现，存在较大差异

技术局限性

1. 仅适用于udp/dublin策略，因为：
   • udp/paris使用校验和编码序列号，本身就不支持NAT环境
   • udp/classic的端口变化导致校验和不稳定
2. 无法检测无响应的跳数上的NAT设备
3. 检测结果依赖设备厂商的具体实现

总结