有没有针对UDP打洞的安全措施？

这是一个有趣的问题。首先，我不确定是否有人能给出你想要的确切答案。不同的网络使用不同的设备和配置。两个ISP可以使用十个不同的供应商为他们的路由器、防火墙、NAT、入侵检测设备、DPI设备等；更不用说所有这些设备可能具有的可能性数量了。
而商业和企业网络已经够糟糕了，家庭网络更加糟糕。在这里，有更多的供应商销售调制解调器、NAT盒子以及影响网络连接的各种软件（如防火墙和反病毒软件）。所有这些都掌握在不懂技术的用户手中，他们将其保留在默认设置中，或者更糟糕。
此外，在家庭和商业网络中可能有几层NAT。我知道一家公司为每个实验室都设置了一个NAT（以将其与其他实验室和研发网络隔离开来）。然后每个实验室都连接到研发NAT（以将其与其他部门隔离开来），研发NAT又连接到公司范围内的NAT，顺便提一下，该NAT也有严格的防火墙。加上可能的ISP级别（运营商级别）NAT，你将面临多达4层NAT。希望这是一个极端例子，但家庭NAT和运营商级别NAT的两层是现在很常见的。
考虑到这一点，一个随机网络会认为这种行为可疑并对其进行限制的可能性有多大？坦白地说，我不确定，也不认为任何人能以高度确定性知道。尽管如此，我的合理猜测是通信设备（NAT、路由器等）的明智默认配置不应该阻止这种行为。毕竟，许多应用程序打开几个端口；更不用说NAT无法知道发送此流量的IP地址本身不是具有数十个计算机的NAT设备 - 每个计算机都有几个开放端口。
我还猜想，只要UDP本身没有被阻塞，并允许使用各种端口，简单的防火墙就应该没问题。然而，试图阻止端口扫描的防火墙和反DDoS设备可能会产生问题，因为这种流量可能对它来说看起来很可疑，所以这可能取决于这些设备和软件的配置/实现细节。因此，不幸的是，了解你的策略在真实世界中的表现方式的唯一方法是在各种不同的网络上进行尝试。 其次，我想谈一下你的穿孔策略。如果Alice和Bob都有一个共享服务器，并且Alice在锥形NAT后面，我不明白你的策略的意义所在。锥形NAT是最简单的NAT，可以克服。如果你想让Alice能够连接到Bob（这很棘手，因为他在对称NAT后面），你真正需要做的就是在Alice请求时让Bob连接到Alice。
为了实现这一点，Alice和Bob都应该始终与服务器保持长时间的TCP或UDP连接。 连接大部分时间不应携带任何数据，只需偶尔保持活动状态即可。
当Alice想要连接到Bob时，它只需打开一个端口（比如说端口X），并从该端口连接到服务器。 服务器看到与端口X对应的Alice的外部端口 - 假设为端口Y。此时，Alice告知服务器她希望Bob连接到她。由于Bob已连接到同一服务器，服务器通知Bob应在端口Y上连接到Alice。这应该建立起它们之间的连接，而无需进行任何猜测。