UDP over TCP:一种特殊的隧道技术介绍 – wiki基地

作者: /

UDP over TCP:一种特殊的隧道技术介绍

引言:网络协议的双子星 – TCP与UDP

在互联网的浩瀚世界中,数据的传输离不开各种协议的协调工作。其中,传输层协议 TCP (Transmission Control Protocol) 和 UDP (User Datagram Protocol) 是最基础也是最重要的两个。它们就像网络世界的双子星,各自扮演着不可或缺的角色。

TCP 提供了一种可靠的、面向连接的数据传输服务。它保证了数据的顺序性、完整性,具备重传机制、流量控制和拥塞控制。这使得 TCP 非常适合那些对数据准确性要求极高的应用,比如网页浏览 (HTTP/HTTPS)、文件传输 (FTP) 和电子邮件 (SMTP)。你可以想象 TCP 就像一个负责任的邮递员,不仅确保你的信件能准确无误、按照顺序送达,还会和你确认收件人是否收到,如果路上遇到问题导致丢失,它还会重新寄送。

而 UDP 则提供了一种不可靠的、无连接的数据传输服务。它不保证数据的顺序、不重传丢失的包,也没有内置的流量或拥塞控制。UDP 的优势在于其速度快、开销小。它适用于那些对实时性要求高,但可以容忍少量数据丢失的应用,比如在线游戏、语音通话 (VoIP)、视频会议和流媒体。UDP 更像是一个“尽力而为”的信差,他会尽可能快地把信件扔进信箱,但不关心你是否收到,也不会确认顺序,如果路上丢了,那也只能算了。

大多数应用程序会根据自身的需求选择使用 TCP 或 UDP。然而,在某些特殊的网络环境下,我们可能会面临一个看似矛盾的需求:需要在基于 TCP 的网络环境中传输原本应该使用 UDP 的数据,或者需要为 UDP 数据提供某种程度的可靠传输 到达特定目的地。此时,“UDP over TCP”——将 UDP 数据包封装在 TCP 数据流中进行传输——这种特殊的隧道技术便应运而生。

本文将详细探讨 UDP over TCP 这一技术,包括其产生的背景、工作原理、应用场景、优缺点以及相关的实现方式。

第一章:为什么需要“UDP over TCP”?背景与动机

理论上,既然 TCP 和 UDP 各有其用,就应该在合适的场景使用合适的协议。但现实的网络环境往往复杂且充满限制。以下是一些促使人们考虑使用 UDP over TCP 的主要原因:

  1. 防火墙和网络策略限制:

    • 许多公司、学校或公共网络的防火墙配置严格,可能会限制或完全阻止 UDP 流量,尤其是特定端口上的 UDP。这是因为 UDP 的无连接特性使得状态跟踪和安全策略应用比 TCP 更困难。
    • 相比之下,TCP 流量(特别是端口 80 (HTTP) 和 443 (HTTPS))通常是被允许甚至优先通过的,因为它们是网页浏览等基本服务的基石。
    • 在这种环境下,如果一个应用必须使用 UDP(例如 VoIP、在线游戏),但其 UDP 端口被封锁,那么将 UDP 封装在允许通过的 TCP 端口中传输,就成了一种绕过限制的有效手段。

  2. NAT (网络地址转换) 的挑战:

    • NAT 在 IPv4 网络中广泛使用,允许多个设备共享同一个公共 IP 地址。对于 TCP 连接,NAT 设备维护一个简单的会话表,将内部 IP:端口映射到外部 IP:端口。
    • 对于 UDP,由于其无连接性,NAT 设备要正确地将外部的 UDP 响应包转发回内部发起请求的设备,需要更复杂的状态管理,有时可能会出现问题(特别是对于不主动发送数据的对等通信,如某些 P2P 应用)。
    • 将 UDP 封装在 TCP 中,客户端只需与服务器建立一个稳定的 TCP 连接。NAT 设备只需管理这个 TCP 连接的状态,而无需关心内部封装的 UDP 流的复杂性,从而简化了 NAT 穿透的问题。

  3. 对隧道传输的可靠性需求:

    • 虽然原始的 UDP 数据包本身不可靠,但在某些隧道场景下,我们可能需要确保这些 UDP 数据包 能够可靠地到达隧道的另一端。例如,在一个 VPN 连接中,即使内部的应用使用 UDP,VPN 本身也可能需要一个可靠的传输通道来承载这些 UDP 包,以确保它们不会在穿过复杂网络时丢失。TCP 的重传机制天然提供了这种隧道层面的可靠性。

  4. 流量伪装与绕过深度包检测 (DPI):

    • 某些网络监控或过滤系统可能会识别并阻止特定的 UDP 协议流量(如基于 UDP 的 VPN 协议、特定的游戏协议)。
    • 将这些 UDP 流量伪装成常见的 TCP 流量(尤其是 HTTPS 流量,因为它通常是加密的且流量巨大,难以深度检测),可以帮助绕过这些检测和过滤。

综上所述,UDP over TCP 并非是为了给 UDP 协议本身增加可靠性(这是做不到的,UDP 应用层行为不变),而是为了解决在特定网络环境下 UDP 流量传输受阻的问题,或者为隧道提供一个可靠的承载层。它是一种妥协和变通的技术手段。

第二章:工作原理:封装、传输与解封装

UDP over TCP 的核心原理是封装 (Encapsulation)。它涉及客户端和服务器端的一对隧道代理或端点。

整个过程可以简化为以下几个步骤:

  1. 客户端隧道代理启动: 客户端设备上运行一个软件(如 VPN 客户端、代理软件),它会监听本地某个端口,准备接收原本应该通过 UDP 发送的应用流量。同时,它会与远程服务器上的隧道代理建立一个或多个 TCP 连接。
  2. UDP 数据包捕获与封装: 当客户端的某个应用生成一个 UDP 数据包,并将其发送到配置好的隧道代理本地端口时,客户端隧道代理会捕获这个 UDP 包(包括其 UDP 头部和数据载荷)。代理软件会根据需要添加一些额外的头部信息(例如,一个长度字段来指示后面跟随的 UDP 数据包有多长,或者一个标识符来区分不同的 UDP 流),然后将整个 UDP 数据包(连同新增的头部)作为有效载荷,封装进 TCP 数据段中。
  3. 通过 TCP 连接传输: 封装好的 TCP 数据段会通过预先建立好的 TCP 连接发送到服务器端。在这个过程中,TCP 协议负责处理数据流的分段、排序、确认、重传、流量控制和拥塞控制,确保数据可靠有序地到达服务器。
  4. 服务器端隧道代理接收与解封装: 服务器设备上运行的隧道代理接收到客户端发送过来的 TCP 数据流。它会根据流中的头部信息(如长度字段)解析出原始的 UDP 数据包。
  5. UDP 数据包转发: 服务器隧道代理从 TCP 流中提取出完整的原始 UDP 数据包后,会将其发送到该 UDP 包原本想要到达的目标地址和端口。对于目标网络来说,这个 UDP 包就像是直接从服务器发出来的一样。
  6. 返回流量处理: 当目标服务器或服务对这个 UDP 包产生响应时,响应的 UDP 包会被发送回服务器隧道代理。服务器代理会捕获这个响应包,进行类似的封装处理(可能需要根据客户端的原始 UDP 包信息来判断应该封装进哪个 TCP 连接),然后通过相应的 TCP 连接发送回客户端代理。客户端代理接收后解封装,最后将原始的 UDP 响应包送达客户端上相应的应用。

关键技术细节:

  • 封装格式: 最简单的封装格式可能就是在每个 UDP 包前面加上一个固定的长度字段(比如一个2字节或4字节的整数),表示后面跟随的 UDP 数据包的字节数。服务器端收到 TCP 数据流时,先读取这个长度字段,然后读取相应数量的字节作为 UDP 数据包。
  • 连接管理: 通常一个客户端与服务器之间会建立一个或少数几个 TCP 连接来承载所有的 UDP 流量。隧道代理需要在内部维护一个状态表,记录每个经过隧道的 UDP 流(基于源/目的IP和端口)与所使用的 TCP 连接之间的映射关系,以便正确地处理返回的 UDP 响应包。
  • 分片与重组: 如果原始 UDP 包很大,或者为了适应 TCP 的最大报文段大小 (MSS),隧道代理可能需要将 UDP 包分片后再封装进多个 TCP 段。服务器端接收到这些 TCP 段后,需要先重组回完整的 UDP 包,再进行转发。TCP 本身的流式特性简化了这一过程,因为 TCP 保证了数据的有序到达。
  • 可靠性的位置: TCP over UDP 提供的可靠性是针对隧道本身的数据传输,即保证封装后的数据能够从客户端代理可靠地到达服务器端代理。它不改变原始 UDP 协议的无连接和不可靠特性。如果一个原始 UDP 包到达服务器代理后被转发出去,但在最后一跳丢失了,UDP over TCP 是无法弥补的。同样,如果原始 UDP 应用期望收到响应并有自己的超时重传机制,这些机制仍然在 UDP 层面独立运作。

第三章:实现方式与相关协议/工具

UDP over TCP 是一种通用的隧道概念,许多软件和协议都可以实现它,或者提供支持这种工作模式的选项。

  1. OpenVPN:

    • OpenVPN 是一个非常流行的开源 VPN 软件,默认倾向于使用 UDP 协议以获得更好的性能。
    • 但是,OpenVPN 提供了 -proto tcp-proto tcp-server / -proto tcp-client 的选项。当配置为使用 TCP 模式时,OpenVPN 客户端和服务器之间会建立一个 TCP 连接,并在其中封装 OpenVPN 隧道协议数据。这个隧道协议数据中可以包含原本使用 UDP 传输的应用流量。
    • 这使得 OpenVPN 能够在那些封锁 UDP 但允许 TCP 的网络环境下工作。

  2. Shadowsocks/V2Ray/Xray 等代理工具:

    • 这些工具最初设计用于科学上网和绕过网络审查。它们的核心功能之一就是将用户的流量(可以是 TCP 或 UDP)封装在代理协议中,并通过 TCP 连接发送到代理服务器。
    • 例如,Shadowsocks 可以在其 TCP 连接中承载 UDP 流量(通常称为 UDP relay 功能)。客户端软件会接收应用的 UDP 流量,将其封装在 Shadowsock 的 TCP 协议中发送给服务器,服务器再将 UDP 包转发到目标地址。返回的 UDP 响应也通过相反的路径封装在同一 TCP 连接中传回。
    • V2Ray 和 Xray 等更高级的工具提供了更多样的传输协议选项(如 VMess, VLESS),它们可以运行在 TCP 上,并同样支持在底层 TCP 流中隧道传输 UDP 流量。

  3. socat 等通用网络工具:

    • socat 是一个功能强大的命令行工具,可以建立各种类型的连接并在它们之间转发数据。通过巧妙地组合 socat 的参数,理论上可以实现将本地监听的 UDP 端口流量转发到一个远程的 TCP 连接上,并在远程端将 TCP 连接收到的数据再转发到目标 UDP 地址。这是一种更底层、更灵活但配置可能更复杂的方式。

  4. 定制开发的隧道软件:

    • 为了特定目的或优化性能,一些开发者或组织可能会开发自己的隧道软件,专门用于高效地在 TCP 上封装和传输 UDP 流量。

需要注意的是,不同的实现可能有不同的封装格式、连接管理策略和性能优化手段。但核心思想都是一致的:在客户端将 UDP 包塞进 TCP 流,在服务器端从 TCP 流中取出 UDP 包并转发。

第四章:优势与劣势分析

UDP over TCP 作为一种特殊的隧道技术,有其独特的优势,但同时也带来了显著的劣势。理解这些权衡对于决定是否采用该技术至关重要。

优势:

  1. 绕过网络限制: 这是最主要的驱动力。它使得原本受阻的 UDP 流量能够在严格限制 UDP 的网络环境中传输,尤其适用于绕过防火墙和克服复杂的 NAT 问题。
  2. 利用常用端口: 可以将 UDP 流量伪装成 HTTP (80) 或 HTTPS (443) 等常用 TCP 端口的流量,这些端口通常是开放且受信任的,有助于进一步绕过更精细的过滤策略。
  3. 隧道层面的可靠传输: 虽然原始 UDP 数据包不可靠,但通过 TCP 隧道传输保证了这些 UDP 包 能够可靠地到达隧道的另一端。这意味着隧道传输过程中因网络波动导致的丢包可以通过 TCP 的重传机制弥补,提高了数据包到达服务器隧道代理的成功率。
  4. 简化服务器端状态管理: 服务器端只需维护与客户端之间的 TCP 连接状态,无需为每一个内部的 UDP 流维护复杂的 NAT 状态。

劣势:

  1. 性能开销大:

    • 头部开销: 每个原始 UDP 包都会被加上隧道封装头部、完整的 TCP 头部和 IP 头部。这显著增加了数据包的大小,导致传输效率下降。
    • TCP 自身的开销: TCP 的连接建立、拆除、拥塞控制、流量控制、顺序确认 (ACK) 和重传机制都需要额外的计算和网络通信,增加了延迟和带宽消耗。

  2. 头部阻塞 (Head-of-Line Blocking, HoLB): 这是 UDP over TCP 最严重的缺点之一,尤其影响实时应用。TCP 保证数据按序到达。如果在 TCP 流中,包含一个 UDP 包的 TCP 段丢失了,后续的 TCP 段(即使它们已经到达并且包含了其他 UDP 包)也必须等待丢失的段被重传并正确插入到流中后才能被上层(隧道代理)接收和处理。这导致即使部分数据已到达,整个流的处理也会停顿,显著增加了延迟和抖动,对 VoIP、在线游戏等对延迟和抖动敏感的应用影响巨大。

  3. 延迟增加: TCP 的确认和重传机制本身就会引入额外的延迟。尤其是在高丢包或高延迟的网络环境中,TCP 的重传会导致更长的等待时间。HoLB 进一步加剧了延迟问题。

  4. “TCP over TCP”问题 (狭义): 虽然这里是 UDP over TCP,但如果隧道中传输的 UDP 应用层协议 自身也包含一套可靠性或拥塞控制机制(例如,在一个基于 UDP 实现的 VPN 中再跑 TCP 应用),那么隧道外部的 TCP 拥塞控制与隧道内部的拥塞控制会相互干扰,可能导致性能下降、吞吐量振荡,甚至出现所谓的“拥塞控制螺旋”,使得网络性能变得更差。即使是 UDP over TCP,底层 TCP 的重传也会对上层 UDP 流引入非预期的延迟和乱序(相对于原始 UDP)。

  5. 不改变原始 UDP 的特性: UDP over TCP 仅仅是将 UDP 包可靠地送到了隧道另一端,并没有赋予原始 UDP 协议可靠性。如果原始 UDP 应用需要处理乱序或丢失(在隧道解封装后发生),它仍然需要自己实现这些逻辑。

第五章:典型应用场景

尽管存在显著的性能劣势,UDP over TCP 在某些特定场景下仍然是解决问题的有效甚至唯一手段。

  1. 在严格防火墙后使用 UDP 应用: 当企业、学校或国家的防火墙阻止所有或大部分 UDP 流量时,需要使用 VoIP 电话、进行在线游戏或使用基于 UDP 的 VPN (如 OpenVPN UDP 模式)。此时,将这些 UDP 流量通过允许通过的 TCP 端口(如 443)进行隧道传输,是绕过限制、实现通信的常用方法。
  2. 绕过针对 UDP 协议的深度包检测 (DPI): 某些网络监控设备可能会识别并阻止特定的 UDP 协议特征(如 DNS over UDP, 特定 VPN 协议)。将这些 UDP 流量封装在加密的 TCP 流中(例如 HTTPS),可以使其难以被识别和过滤。
  3. 解决复杂的 NAT 穿透问题: 对于一些点对点 (P2P) 或需要复杂 NAT 穿透的 UDP 应用,通过一个中心化的服务器使用 UDP over TCP 隧道进行中转,可以简化客户端的实现和 NAT 穿透的复杂度。客户端只需与服务器建立稳定的 TCP 连接。
  4. 为 UDP 隧道提供可靠的承载层: 虽然不常见,但在某些特定的网络隧道协议设计中,如果底层必须穿越不可靠且中间设备可能丢弃 UDP 的网络,可能会选择基于 TCP 来承载整个隧道流量,其中包括了原始的 UDP 数据。

第六章:替代方案与未来发展

考虑到 UDP over TCP 的性能瓶颈,尤其是 HoLB 问题,人们也在积极探索或使用其他替代方案。

  1. 直接使用 TCP 实现类似功能: 如果可能,重新设计应用层协议使其直接运行在 TCP 之上,是更理想的方式。例如,DNS over TCP (DoT) 和 DNS over HTTPS (DoH) 就是将原本基于 UDP 的 DNS 查询迁移到 TCP 上,以提供更高的可靠性和隐私性。
  2. UDP Hole Punching 和其他 NAT 穿透技术: 对于 P2P 应用,尽量使用 UDP Hole Punching、STUN、TURN 等技术直接在客户端之间建立 UDP 连接,避免通过服务器中转带来的额外延迟和开销。
  3. QUIC (Quick UDP Internet Connections): QUIC 是由 Google 开发的一种基于 UDP 的传输协议,旨在解决 TCP 的一些缺点,特别是 HoLB。QUIC 在 UDP 之上实现了可靠传输、流控、拥塞控制,并且通过多路复用技术在同一连接上实现了独立的流,解决了 TCP 的 HoLB 问题。对于需要可靠传输但又想避免 TCP 性能问题的场景,QUIC 是一个非常有前景的替代方案。许多新型的隧道和代理协议(如 XTLS)也开始考虑或支持基于 QUIC 的传输层。

结论

UDP over TCP 是一种为了克服特定网络环境限制而诞生的特殊隧道技术。它通过将 UDP 数据包封装在 TCP 流中传输,成功地将原本可能被阻止或难以穿越 NAT 的 UDP 流量,“伪装”并“可靠地”(指隧道层面)送达目的地。

它的主要优势在于强大的网络穿透能力,能够绕过防火墙和利用常用端口。然而,这种能力是以显著的性能损失为代价的,尤其是头部开销、额外延迟以及严重的头部阻塞 (HoLB) 问题,这使得它不适合对实时性要求极高的应用。

因此,UDP over TCP 是一种权衡之下的选择。它并非理想方案,但在那些“连接即一切”的受限网络环境中,它可能是实现通信的唯一实用手段。随着 QUIC 等新型传输协议的出现和普及,未来可能会有更高效、更少性能损失的替代方案来解决类似的问题。但在那之前,UDP over TCP 将继续在某些特定的网络绕过和隧道应用场景中扮演着重要角色。

理解其工作原理、优缺点以及适用场景,对于网络工程师、系统管理员以及普通用户在使用相关工具或解决网络连接问题时,都具有重要的指导意义。它提醒我们,在复杂的网络世界里,为了达成目标,工程师们总能找到巧妙而富有创造性的变通方法。

发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部