NAT转发报文分析.doc

NAT转发报文分析.docNAT转发报文分析作者:IE#27826Email:499092293@背景:校园网或小区网络经常用私设NAT服务来进行非法上网,通过私接NAT设备来逃避计费或作大流量作业等。对网络管理系统以及计费系统会产生一定的影响,但由于此行为极其隐蔽而很难被辨别和检测,一直成为网络管理中棘手的问题。为此来模拟此行为,并对相应通信数报文进行收集分析,但由于在实验室环境中完成,所以难免有不全面性,并且在此不作现实可操作性讨论和NAT转换过程说明。设备:Switch(支持Mirror/Span)>网管工作站(Sniffer软件)、Gateway、NAT设备(TP-link)、PCo拓朴图::黑虚线以下部份对于网络管理是不可见的,而且其原始报文格式与被NAT转换后的报文相同,仅在通过NAT设备时对相应地址(2/3)的进行正常转换,所以在此不对虚线以下的原始报文作分析。步骤:一、实验前期准备1按上图所示搭建测试环境,黑虚线以上网络互通;Switch做端口镜像(Mirror)网管工作站接收PC主机所有的数据包(线色虚箭头方向);NAT设备WAN和LAN分配IP,让PC的通信正常(GW/Switch配置不变);WAN:(outside)LAN:(inside)4网管工作站安装完成相关Sniffer软件,收集数据包。二、+DNS+--(request)经过NAT设备之后数据文源/目MAC地址将更换(通过路由器相同),源IP地址同样也被更换,。但是从数据报文中还是可以看到异常信息。(MAC全球厂商分配表);从下图红线部份可以看到是厂商名为TP-link(TP-Link前缀hex00:0A:EB),从以上信息可初步判断可能为NAT设备。2第二红框中看到TTL值127(TTL生存时间,IP报头的参数,数据包每经过一个路由器/子网将减1,windows平台TTL初始值为128),127=128-1由此可以怀疑此数据包之前已经跨越了一个路由/子网,可以推定前面有NAT设备。盘・■»Destination:00-12-0E-96-43-37?・・・■§Source:|00:0A:EB:D0:31:ASSh^nzh^nTp-linkT^ch:D0:31:A5:・・・『ProtocolType: 0x0800刁HPHeadei?PiroLocoLDatHgrain•…•Version: 4,…。HeaderLength: S(20 bytes?田^D±fferentlatedServices=^00000000[-『TotalLength: 60,…9Identifier: 36497日丁4FragmentationFlags: %000b•■ 0.. Reserved••。 .0. MayFrag^i^nt••…. ..0 LastFragment"・,Fra