第二章 NAT转发报文分析.docVIP

NAT转发报文分析 作者：pillal CCIE#27826 Email：499092293@ 背景：校园网或小区网络经常用私设NAT服务来进行非法上网，通过私接NAT设备来逃避计费或作大流量作业等。irror/Span)、网管工作站(Sniffer软件)、Gateway、NAT设备（TP-link） 拓朴图： 说明：黑虚线以下部份对于网络管理是不可见的，而且其原始报文格式与被NAT转换后的报文相同，仅在通过NAT设备时对相应地址(2/3)的进行正常转换，所以在此不对虚线以下的原始报文作分析。 步骤： 一、witch做端口镜像(Mirror) 网管工作站接收PC主机所有的数据包（线色虚箭头方向）； 3 NAT设备 WAN 和LAN分配IP，让PC的通信正常（GW/Switch配置不变）；WAN：0(outside) LAN:(inside) ４网管工作站 安装完成相关Sniffer软件，收集数据包。 二、ICMP+DNS+Http 5←→Any IP 网管工作站进行数据报文的收集 2.1 ICMP报文 0→34 (request) 经过NAT设备之后数据文源/目MAC地址将更换（通过路由器相同），源IP地址同样也被更换，192.168.2.x/24后面的主机地址及相关信息完全被隐藏起来。但是从数据报文中还是可以看到异常信息。 通过此数据包的源MAC地址对应该分配到的硬件厂商名（MAC全球厂商分配表）；从下图红线部份可以看到是厂商名为TP-link（TP-Link前缀hex 00:0A:EB），从以上信息可初步判断可能为NAT设备。 2 第二红框中看到TTL值127（TTL生存时间,IP报头的参数，数据包每经过一个路由器/子网将减1，windows平台TTL初始值为128），127=128-1由此可以怀疑此数据包之前已经跨越了一个路由/子网,可以推定前面有NAT设备。 2.2 HTTP DNS报文与ICMP以上两个特性相同(不作详细说明) (HTTP) (DNS) ARP报文 NAT设备在通信中会产生相关ARP广播数据包，通过ARP报文可看到源MAC地址，以及解析成相应的厂商(ARP包无TTL值)。如下图： （ARP Broadcast） 结论及对应方案： 1 从实验来看，私设NAT通信流量与普通主机通信特征基本相同，通过数据报文来检测私设NAT设备信息非常有限。 通过实验，还是可以观察到NAT转换后的报文2个特征： MAC地址和TTL值；根据厂商MAC地址表和常用TTL值默认值，可以为检测私设NAT设备提供最重要的依据。 检测方案建议 IP+MAC 收集内网IP以及对应的MAC地址，通过此数据来做与厂商的对应，判断常见的NAT设备（弊端：NAT设备可能是一台主机，生产NAT设备的厂 商可能也生产网卡）。 流量 由于做NAT设备最大目的增加上网主机，此时单IP流量可能会比普通主机要大，通过Netflow/镜像来流量收集，统计相应IP对应的流量，重点监视同等IP最大流量的用户（弊端：对于正常BT用户以及私设NAT用户流量没有明显放大不容易判断）。