[发明专利]基于传输层流量特征的NAT流量识别方法

说明书

技术领域

本发明涉及互联网应用技术领域，尤其涉及互联网应用中基于传输层特征对经过NAT的数据流量进行识别的方法。

背景技术

IPv4(IP协议版本4)指定了32比特用于IP地址，理论上总共有4,294,967,296个IP地址。然而在实际应用中，由于预留了一些用于测试、组播和其他专门用途的IP地址，实际仅有33亿个左右的IP地址可分配使用。由于互联网的飞速发展，越来越多的用户加入到使用互联网的行列之中，全球IP地址资源匮乏的问题也日益突出，可用IP地址数目现在明显不足。虽然新的IPv6(IP协议版本6)开拓了巨大的IP地址空间，可以解决网络地址资源不足的问题。但是，IPv6还处在发展推广阶段，距离IPv6的全球广泛使用还有一定距离。

NAT(NetworkAddress Translation，网络地址转换)技术作为暂时解决IP地址耗尽的过渡技术应运而生。网络地址转换是一个IETF(Internet Engineering Task Force，因特网工程任务组)标准，允许一个整体机构所有用户以有限个公网IP地址在Internet上使用，也就是把内部私有网络地址转换成合法的公网IP地址的技术。借助于NAT技术，位于NAT后的主机拥有自己的内部私网IP地址，并利用NAT设备共享少量甚至一个公网IP地址，即可实现私有地址网络内所有计算机与Internet的通信需求。当位于NAT设备后的计算机需要与位于公网上的网络设备进行通信的时候，NAT设备将把对应的私网IP地址和端口号映射为自己的公网IP地址和端口号，这样位于NAT后的多台主机便可实现共享上网，相对于其他公网上的设备则是透明的。

NAT不仅解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机，给防火墙技术也带来了新的发展方向。但是，任何一种新技术都是一把双刃剑，NAT同时也给网络管理和监控带来了一些不可避免的问题，比如多用户私自共享上网，甚至私自建立黑网吧经营逃避监管等。这种无序的共享接入上网方式给运营商带来了诸多不利影响：降低了运营商的服务品质，网络接入基础建设费难以正常回收，运营商成本增加，用户流失，合法用户受到冲击，账号被盗用等情况。因此运营商迫切希望能够对这种无序的网络状况进行管理控制，而需要监控这种无序的共享上网行为，首先就要能够识别出共享上网的用户，然后对使用共享接入的用户进行验证审查，确认其是合法用户还是私接盗用的非法用户，最后对其中的非法用户接入的上网主机实施限制。

但是在基于NAT设备的共享接入网络环境下，NAT设备之后的主机对其他公网设备是透明的，其主机IP、主机数量等信息外部网络不可见，因此运营商无法轻易确定在一个公网IP地址之后到底有多少个用户。在更严重的情况下，NAT设备后的网络还可能成为黑客发起网络攻击的工具。因此，为了能够更加有效地管理网络环境，NAT检测技术的需求也越来越迫切，需要找到一种有效的方法来检测NAT设备之后的网络使用情况，有效区分一个公网IP对应的单个主机与NAT设备。

现有技术中，对于NAT检测技术的研究成果，根据检测技术的特点，主要分为两种类型：一是协议分析检测法，二是应用层特征检测法。以下分别对这两类检测技术作简单介绍：

1.协议分析检测法

该方法主要利用分析数据链路层、网络层、传输层的协议字段来进行NAT的检测识别，比如IPID、TTL、TCP时间戳、TCP初始序列码等。

(1)IPID检测法：IPID是IP层中用来标识IP数据包的字段，占据两个字节，其初衷是为分片重组提供方便，用来唯一标识主机发出的每一个IP报文，而在实际应用中操作系统常常将IPID作为一个计数器使用。不论数据包属于哪个连接，同一主机每发出一个数据包IPID值就会递增1。不同主机的IPID值独立地递增，因此，当同一个网络中的多台主机同时访问网络时，每台主机的IPID值按照各自的序列递增。因为不同主机开机时间不尽相同，活动频率也不相同，因此NAT后的不同主机产生相同的IPID轨迹的概率极小。根据这点，通过分析统计一个指定IP地址发出的数据包的IPID值，查看其有多少个不同的连续轨迹，可以较准确地识别这个NAT设备后的主机数。