CN105681487A - 用于nat设备的检测的方法和装置 - Google Patents
用于nat设备的检测的方法和装置 Download PDFInfo
- Publication number
- CN105681487A CN105681487A CN201610036741.4A CN201610036741A CN105681487A CN 105681487 A CN105681487 A CN 105681487A CN 201610036741 A CN201610036741 A CN 201610036741A CN 105681487 A CN105681487 A CN 105681487A
- Authority
- CN
- China
- Prior art keywords
- network
- nat
- edge
- grouping
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及用于NAT设备的检测的方法和装置,提供了一种用于检测网络中的网络地址转换(NAT)设备的系统,所述网络包括一个或多个主机和边缘网络设备,所述边缘网络设备包括:处理器;以及被耦合到所述处理器的存储器,所述存储器被配置为存储电子文件;其中,所述处理器被配置为:分析所述边缘网络设备的边缘端口处的进入分组的多个操作系统指纹签名;确定所述多个指纹签名是否指示多个操作系统在所述边缘端口处共享同一网络地址;如果所述多个指纹签名映射到多个操作系统,则确定NAT设备被连接到所述边缘端口;以及如果所述多个指纹签名映射到单个操作系统,则确定NAT设备未被连接到所述边缘端口。
Description
本申请是分案申请,其母案申请的国际申请号是:PCT/US2009/062323;其母案申请的国际申请日是2009.10.28;其母案申请的发明名称是:“用于NAT设备的检测的方法和装置”;其母案的国家申请号是:200980162190.4。
背景技术
在网际协议(IP)转换和映射技术中一般使用网络地址转换(NAT)设备。这些设备常常被用来允许多个用户经由一个地址来获得对网络的接入。网关可以将在NAT设备的一侧上的许多IP地址映射到在另一侧上的一个IP地址(或少量IP地址)。使用此映射,在一个NAT设备后面可以存在每个与IP地址相关联的许多主机,并且其网络业务在NAT设备的另一侧上被视为来自单个IP地址(或少量IP地址)。
网络上的NAT设备的存在已经是对网络和安全管理员的挑战,因为其可能潜在地对网络管理系统、安全系统和管理员隐藏了未授权的主机或者甚至整个网络。在NAT设备是无线路由器的情况下可能使此威胁更加严重,其能够使得在组织的建筑物外面的被隐藏主机能够连接到该组织的网络。
NAT设备的检测可能是困难的,因为其实际上可能是与主机计算机不可区分的。例如,未授权主机可以经由NAT设备连接到受保护网络。当未授权主机向该网络发送分组时,未授权主机的分组中的源IP地址被NAT设备用IP地址替换。NAT设备的此特征使得对受保护网络或在该受保护网络中的任何可疑接入或操作的源的检测相当困难。
附图说明
通过参考附图,可以更好地理解本公开,并且使其许多特征和优点对于本领域的技术人员来说显而易见。
图1是依照本发明的实施例的网络系统的拓扑方框图。
图2是依照本发明的实施例的用于NAT设备的检测的处理流程图。
图3是依照本发明的实施例的用于NAT设备的检测的另一处理流程图。
图4是依照本发明的实施例的用于基于指纹签名的NAT检测的另一处理流程图。
图5是依照本发明的实施例的示例性分组交换机的方框图。
图6举例说明其中可以实现本发明的各种实施例的示例性计算机系统。
具体实施方式
当今的网络中的许多设备执行网络地址转换。在此类NAT设备之中的是消费者型路由器和无线路由器、共享网络连接的终端用户PC以及更多。网络安全系统现今被用来监视被管理网络的健康,其可以包括NAT检测。
在本文中描述了NAT检测和阻止方法,其防止通过未授权NAT设备进行的未授权网络接入。在一个实施例中,分析分组并基于该分析来确定在网络中是否存在NAT设备。尽管有NAT设备克隆授权设备的网络地址从而迫使退出基于802.1x和MAC地址的认证的能力,但仍可以检测未授权NAT设备。
在本文中描述了用于检测网络中的网络地址转换(NAT)设备的方法。边缘网络设备在边缘网络设备的边缘端口处检测第一分组。在边缘网络设备的边缘端口处检测第二分组。确定与第一分组相关联的生存时间(TTL)值是否不同于与第二分组相关联的TTL值。在与第一分组相关联的TTL值不同于与第二分组相关联的TTL值的情况下,确定NAT设备被连接到该边缘端口。在与第一分组相关联的TTL值和与第二分组相关联的TTL值相同的情况下,确定NAT设备未被连接到该边缘端口。
在一个实施例中,描述了用于检测网路中的网络地址转换(NAT)设备的系统。所述网络可以包括一个或多个主机和边缘网络设备。所述边缘网络设备包括处理器和被耦合到处理器的存储器。可以将处理器配置为分析边缘网络设备的边缘端口处的进入分组的多个操作系统指纹签名,确定所述多个指纹签名是否指示多个操作系统在边缘端口处共享相同的网络地址,如果所述多个指纹签名映射到多个操作系统,则确定NAT设备被连接到该边缘端口,并且如果所述多个指纹签名映射到单个操作系统,则确定NAT设备未被连接到该边缘端口。
图1是依照本发明的实施例的网络100的拓扑方框图。网络100包括网络管理服务器30、网络交换机10、网络交换机11、网络交换机12、NAT路由器20、无线接入点(AP)22、主机44、主机45和主机46。
网络管理服务器30被可操作地耦合到网络交换机11。网络管理服务器30与网络交换机11之间的连接可以包括多个网络段、传输技术和组件。网络管理服务器30被配置为管理、监视和/或部署网络。还可以将网络管理服务器30配置为检查并分析多个操作系统指纹签名并基于指纹签名的分析来检测网络100中的未授权NAT设备。在一个实施例中,诸如网络映射器(Nmap)及其它主动和被动网络扫描工具的网络扫描工具可以被网络管理服务器30用来执行网络100的扫描。在其它实施例中,可以由不同的实体来执行扫描且可以将扫描的结果提供给网络管理服务器以进行分析。
网络交换机11被可操作地耦合到网络管理服务器30和网络交换机10。网络交换机10被可操作地耦合到网络交换机11和网络交换机12。网络交换机10包括多个端口,其中的一个连接到无线接入点22且其中的另一个连接到NAT路由器20。网络交换机10是边缘设备。如本文所使用的,边缘设备是网络交换机、路由器或网络的边缘上的其它网络设备。主机设备经由边缘端口直接连接到边缘设备。如本文所使用的,边缘端口是直接连接到主机设备的边缘设备的端口。
网络交换机12是边缘设备且被可操作地耦合到网络交换机10。网络交换机12包括多个端口,其中的至少一个是连接到主机44的边缘端口。
在一个实施例中,网络交换机10~12被配置为处理并在网络中传输数据。另外,还可以将网络交换机10~12配置为分析分组,诸如数据分组和/或传输控制协议(TCP)同步和确认(SYN+ACK)消息,并基于该分组的分析来检测网络100中的未授权NAT设备。
无线接入点22被经由网络交换机10的边缘端口可操作地耦合到网络交换机10。无线接入点22被配置为将无线通信设备连接到无线网络。
NAT路由器20被经由网络交换机10的边缘端口可操作地耦合到主机45、主机46和网络交换机10。NAT路由器20被配置为处理并在网络100中传输数据。另外,NAT路由器20被配置为将供例如主机45和主机46的在NAT路由器20后面的主机使用的未注册(即私人)网络地址映射到注册(即公共)网络地址。例如,可以将NAT路由器20配置为用其自己的公共网络地址和/或端口号来替换从主机45和/或46接收到的分组的私人源网络地址和/或端口号,从而对主机45和/或46隐藏业务的私人源地址。
在一个实施例中,可以由Windows®操作系统来生成主机45的网络业务。可以由MAC®操作系统来生成主机46的网络业务。在操作中,当在被连接到主机45的边缘端口处接收到进入分组时,NAT路由器20用其自己的源MAC地址和源IP地址来替换分组中的主机45的源MAC地址和源IP地址。同样地,当在被连接到主机46的边缘端口处接收到进入分组时,NAT路由器20用其自己的源MAC地址和源IP地址来替换分组中的主机46的源MAC地址和源IP地址。同样地,来自主机45和主机46的分组看起来如同其源自于单个网络地址。
可以使用能够被映射到操作系统的指纹签名来区分主机45和主机46之间的业务。来自主机45的分组与被映射到Windows®操作系统的指纹签名相关联,而来自主机46的分组与被映射到MAC®操作系统的指纹签名相关联。
在一个实施例中,NAT检测包括分析多个指纹签名并基于指纹签名的分析来检测未授权NAT设备。在另一实施例中,NAT检测包括分析分组并基于分组的分析来检测未授权NAT设备。
本发明还可以应用于其它网络拓扑结构和环境中。网络100可以是本领域的技术人员所熟知的任何类型的网络,其能够支持使用多种市售协议中的任何一个的数据通信,包括但不限制TCP/IP、SNA、IPX、AppleTalk等。仅仅通过举例的方式,网络100可以是局域网(LAN),诸如以太网、令牌环网和/或类似物;广域网;虚拟网络,包括但不限制虚拟专用网络(VPN);因特网;内部网;外部网;公共交换电话网(PSTN);红外网络;无线网络(例如在IEEE802.11协议组、本领域中已知的蓝牙协议和/或任何其它无线协议中的任何一个下操作的网络);和/或这些和/或其它网络的任何组合。
图2是依照本发明的实施例的用于NAT设备的检测的处理流程图。通过可执行指令的一个或多个序列的执行来完成所描绘的处理流程200。在另一实施例中,通过网络设备的组件、例如专用集成电路(ASIC)的硬件逻辑的布置等的执行来完成处理流程200。
可以由在诸如网络交换机10和网络交换机12的边缘网络设备处的NAT检测模块通过分析数据分组并基于分组的分析来检测网络系统中的未授权NAT设备而执行NAT检测。
在步骤210处,边缘网络设备在边缘端口处从被连接到该边缘端口的主机接收第一数据分组。在步骤215处,确定与第一数据分组相关联的生存时间(TTL)值。在步骤220处,从被连接到边缘端口的主机接收第二数据分组。
可以分析第二数据分组以确定与之相关联的TTL值。在步骤225处,确定与第一数据分组相关联的TTL值是否不同于与第二数据分组相关联的TTL值。
能够利用对路由器的行为的理解以确定NAT设备是否被连接到边缘网络设备的边缘端口。通常,当由路由器转发业务时,路由器可以将TTL值减一。同样地,到达相同边缘端口处的进入分组的TTL值的变化是NAT设备被连接到边缘端口的强烈指示。
例如,第一数据分组可能已经由被直接连接到边缘端口的主机发送。可以使第一数据分组与TTL值相关。可以记录第一分组的TTL值。如果不存在被连接到相同边缘端口的NAT设备,则可以预期所有TTL进入应是相同的。同样地,TLL值的任何变化可以指示NAT被连接。
此外,1的变化可以指示NAT设备已被添加到边缘端口。例如,第一数据分组可能已经由被直接连接到边缘端口的主机发送。可以使第一数据分组与128的TTL值相关。随后,NAT设备从相同的边缘端口接收与127的TTL值相关的第二数据分组。TTL值的差是1。由于路由器通常将从其中横穿的分组的TTL值减小,所以第一和第二数据分组的TTL值的为1的差可以指示NAT路由器已被连接到边缘端口。
在另一示例中,TTL值的变化可以指示在边缘端口后面存在具有不同操作系统的多个计算机。NAT设备可能被连接到端口。运行Mac OS®操作系统的主机被连接到NAT设备。运行Windows Vista®操作系统的主机也被连接到NAT设备。TTL值与在主机上运行的计算机操作系统相关。以下表格举例说明了TTL值(TTL Value)与计算机操作系统(OperatingSystem)之间的示例性关联:
表1。
在操作中,可以从运行Mac OS®操作系统的主机接收第一数据分组,并且同样地,可以使该第一数据分组与为64的TTL值相关。可以从运行Windows Vista®操作系统的主机接收第二数据分组,并且同样地,可以使该第二数据分组与为128的TTL值相关。可以比较第一和第二分组的TTL值且可以检测不匹配。
在与第一数据分组相关联的TTL值不同于与第二数据分组相关联的TTL值的情况下,处理继续至步骤240,在那里,确定NAT设备被连接到边缘端口。另一方面,在TTL值相同的情况下,处理继续至步骤230,在那里,确定NAT设备未被连接到边缘端口。
可以快速且高效地在网络设备处检测NAT设备的存在。由于数据分组本身未被修改,所以在写入至分组方面不存在附加延迟。此外,不需要跟踪TTL值的历史,其可能占用网络设备上的大量存储器。替代地,在一个实施例中,存储第一进入数据分组的TTL值并将其用来与后续的进入数据分组的TTL值比较。
图3是依照本发明的实施例的用于NAT设备的检测的另一处理流程图。通过可执行指令的一个或多个序列的执行来完成所描绘的处理流程300。在另一实施例中,通过网络设备的组件、例如专用集成电路(ASIC)的硬件逻辑的布置等的执行来完成处理流程300。
可以由在诸如网络交换机10和网络交换机12的边缘网络设备处的NAT检测模块通过分析诸如SYN+ACK消息的响应分组并基于分组的分析来检测网络系统中的未授权NAT设备而执行NAT检测。特别地,通过请求来自在NAT设备后面的多个主机的响应来发现该多个主机。
在步骤310处,边缘网络设备检测进入和/或外出分组。如本文所使用的,进入业务是通过边缘端口进入边缘网络设备的业务。外出业务是通过边缘端口离开边缘网络设备的业务。
在步骤315处,生成请求分组。该请求分组被用来请求来自任何被隐藏主机的响应。该请求分组可以是传输控制协议(TCP)分组,例如,诸如同步(SYN)消息。在典型的TCP三路握手连接中,在第一主机与第二主机之间发送同步(SYN)消息、同步和确认(SYN+ACK)消息、和确认(ACK)消息。当SYN消息被接收主机接收到时,通常提供诸如SYN+ACK消息的响应分组。
确定请求分组的目的地地址。在在步骤310处检测到进入分组的情况下,将请求分组的目的地地址设置为进入分组的源地址。在在步骤310处检测到外出分组的情况下,将请求分组的目的地地址设置为外出分组的目的地地址。
确定请求分组的目的地端口。应认识到的是,TCP/IP协议栈的复用特征能够允许NAT设备使用不同的TCP或UDP端口来保持与若干主机的不同连接。分组中的每个端口字段使用16位,这意味着存在可能的65,536(216)个不同端口值。在一个实施例中,检查这些端口值中的每一个以确定在那里是否隐藏了主机。目的地端口可以在为0~65,536的值处开始且随后可以对其进行增加、减小或以其它方式修改,例如直至接收到具有与初始响应消息的TTL值不同的TTL值的响应消息为止或者直至已经耗尽了所有端口值为止。
在步骤320处,传送请求分组。在步骤325处确定在边缘端口处是否接收到对请求分组的响应消息。在一个实施例中,在时间帧内可以预期诸如SYN+ACK消息的响应消息。在未接收到此类响应的情况下,处理可以环回至步骤315,在那里,生成具有增加的端口值的另一个请求分组。在在边缘端口处接收到响应且该响应是初始响应的情况下,处理继续至步骤315,在那里,生成具有增加的端口值的另一请求。在接收到的响应不是初始响应的情况下,处理继续至步骤330,在那里,比较在相同边缘端口处接收到的两个响应的TTL值。步骤330在逻辑上可以类似于图2的步骤225。
响应消息的报头包括TTL值。在步骤330处,确定与第一响应相关联的TTL值是否不同于与第二响应相关联的TTL值。TTL值的变化可以指示NAT路由器的存在。在一个实施例中,存储第一响应消息的TTL值并用该第一响应消息的TTL值与后续的响应消息的TTL值相比较。
在与第一响应消息相关联的TTL值不同于与第二响应消息相关联的TTL值的情况下,处理继续至步骤340,在那里,确定NAT设备被连接到该边缘端口。另一方面,在TTL值相同的情况下,处理继续至步骤315,在那里,仍然生成具有增加的端口值的另一请求分组。在所有端口值或其任何子集已被耗尽的情况下,确定NAT设备未被连接到该边缘端口。
图4是依照本发明的实施例的用于基于指纹签名的NAT检测的另一处理流程图。通过可执行指令的一个或多个序列的执行来完成所描绘的处理流程400。在另一实施例中,通过网络设备的组件、例如专用集成电路(ASIC)的硬件逻辑的布置等的执行来完成处理流程400。
可以由NAT检测模块在诸如网络管理服务器30的网络管理服务器处或在网络设备处通过分析多个操作系统指纹签名并基于指纹签名的分析来检测网络系统中的未授权NAT设备而执行NAT检测。
在步骤415处,确定边缘网络设备的边缘端口的进入分组的多个指纹签名。在一个实施例中,可以收集边缘端口的进入分组的指纹签名或以其它方式将其提供给网络管理服务器。数据收集服务器可以例如从由网络管理服务器30管理的一个或多个网络设备收集网络业务的统计采样数据。可以实现使得能够搜集业务概要信息(例如,源地址、目的地地址、时间戳、原始分组报头信息或网络业务的其它统计采样数据)的网络管理协议。网络管理协议的示例可以包括但不限于sFlow、NetFlow、远程监视(RMON)、简单网络管理协议(SNMP)和扩展RMON。
可以针对用于边缘网络设备的边缘端口的每个进入业务概要生成指纹签名。例如,对进入业务概要的内容应用指纹测试以将产生与该进入业务概要相关联的网络业务的操作系统分类。
可以基于各种因素来测试进入业务概要,诸如时间戳格式、网际协议标识(IP ID)值、分组的长度、和3层和4层分组报头中的其它字段,诸如不分段(DF)字段、服务类型(TOS)、TCP报头长度、窗口尺寸、以及存在于报头中的TCP选项的类型。
一个操作系统可以对数据分组的时间戳应用某个格式,而另一操作系统可以应用另一格式。换言之,时间戳的特定格式可以是特定操作系统的标识符。同样地,确定在业务概要中表示的每个分组的时间戳格式。
此外,将边缘端口的进入业务概要的IP ID值(即序号)相互比较。IP ID值已经被依照其增加的方式可以是特定操作系统的标识符。例如,Windows®操作系统将IP ID值增加256,而Solaris®操作系统增加1。同样地,确定在业务概要中表示的分组之间的IP ID值的递增量。
另外,分组的特定长度可以是特定操作系统的标识符。例如,同步(SYN)消息的长度在操作系统之间改变。同样地,确定在业务概要中表示的每个分组的长度。
此外,传输控制协议(TCP)选项字段可以是特定操作系统的标识符。同样地,确定在业务概要中表示的每个分组的TCP选项。
在针对用于边缘网络设备的边缘端口的每个进入业务概要生成指纹签名时考虑一个或多个这些因素。在另一实施例中,可以使用被动和/或主动指纹方法来生成指纹签名。
在步骤420处,确定指纹签名是否指示多个操作系统共享同一网络地址。在一个实施例中,使用指纹签名来将每个业务分类为由特定操作系统生成。换言之,可以将边缘端口的每个指纹签名映射到操作系统。
在指纹签名的操作系统相同的情况下,处理继续至步骤440,并且确定NAT设备未被连接到边缘端口。另一方面,在针对用于相同边缘端口的指纹签名识别多个操作系统的情况下,处理可以继续至步骤425,在那里,确定NAT设备被连接到边缘端口。
在步骤430处,在确定NAT设备被连接到边缘端口时生成警报。该警报可以指示已检测到多个操作系统,并且可以包括其中检测到共享同一网络地址的多个操作系统的网络中的位置的标识(即边缘网络设备标识符、边缘端口号等)。该警报还可以包括诸如所检测的每个操作系统的标识的信息和可能存在NAT路由器的信息。
在步骤435处,响应于该警报执行动作。该动作可以包括将警报发送到本地日志文件或发送到网络管理员、禁用其中检测到多个操作系统共享同一网络地址的网络中的所识别位置、或以其它方式禁用由NAT设备对网络的接入、启用边缘网络设备或边缘端口上的超时等中的一个或多个。
图5是依照本发明的实施例的示例性分组交换机500的方框图。所使用的分组交换机的特定配置可以根据特定实施方式而变。中央处理单元(CPU)502在操作中执行交换机500的总体配置和控制。CPU 502与交换机控制机构504、被设计为在以高速执行分组交换时辅助CPU 502的专用集成电路(ASIC)协作地操作。
交换机控制机构504控制接收到的分组到交换机内的适当位置的“转发”以用于进一步处理和/或用于从另一交换机端口传送出。交换机控制机构504中包括入站和出站高速FIFO(分别为506和508)以用于通过交换机总线552与端口模块交换数据。依照本发明的实施例,交换机控制机构504包括被配置为检测网络中的NAT设备的存在的NAT检测模块505。
存储器510包括高和低优先级入站队列(分别为512和514)和出站队列516。高优先级入站队列512被用来保持等待由CPU 502处理的接收到的交换机控制机构分组,而低优先级入站队列514保持等待由CPU 502处理的其它分组。出站队列516保持等待通过其出站FIFO 508经由交换机控制机构504传输到交换机总线550的分组。CPU 502、交换机控制机构504和存储器510在很大程度上独立于交换机总线550上的活动通过处理器总线552来交换信息。
可以将交换机的端口体现为连接到交换机总线550的插入模块。每个此类模块可以是例如在单个模块中具有多个端口的多端口模块518或者可以是单端口模块536。多端口模块提供能够处理许多较慢的单独端口的聚合分组交换性能。例如,在一个实施例中,可以将单端口模块536和多端口模块518二者配置为提供例如约1 Gbit每秒分组交换性能。单端口模块536因此能够以达到1 Gbit每秒的速度处理单个端口上的分组交换。多端口模块518提供类似的聚合性能,但优选地使带宽分布在八个端口上,每个端口以例如达到100 Mbit每秒的速度操作。可以将这些被聚合或中继(trunk)的端口视为到交换机的单个逻辑端口。
每个端口包括用于通过其相应的端口来交换数据的高速FIFO。具体地,每个端口520、528和537优选地包括分别用于从被连接到该端口的网络介质接收分组的入站FIFO522、530和538。此外,每个端口520、528和537优选地分别包括高优先级出站FIFO 524、532和540以及分别包括低优先级出站FIFO 526、534和542。低优先级出站FIFO被用来将与正常分组的传输相关联的数据排队,而高优先级出站FIFO被用来将与控制分组的传输相关联的数据排队。每个模块(518和536)包括用以将其端口FIFO连接到交换机总线550的电路(未具体示出)。
当从端口接收到分组时,分组数据被以使得允许由交换机控制机构504进行分组数据的监视这样的方式应用于交换机总线550。通常,交换机控制机构504管理由所有端口模块(即518和536)到交换机总线550的接入。所有端口模块在分组被接收到且被接收端口模块应用于交换机总线550时“侦听”分组。如果分组将被转发到另一端口,则交换机控制机构504在分组结束之后向交换机总线550应用尾部消息以识别哪个端口应接受所接收到的分组以便转发到其关联的网络链路。
将认识到的是,可以以硬件、软件或硬件和软件的组合的形式来实现本发明的实施例。可以以易失性或非易失性存储器(诸如例如像ROM的存储设备(无论是否可擦除或可重写))的形式,或者以诸如例如RAM、存储器芯片、器件或集成电路的存储器的形式、或者在光或磁可读介质(诸如,例如CD、DVD、磁盘或磁带)上存储任何此类软件。将认识到的是,该存储设备和存储介质是适合用于存储在被例如处理器执行时实现本发明的实施例的一个或多个程序的机器可读存储介质的实施例。因此,实施例提供包括用于实现如在任何前述权利要求中要求保护的系统或方法的代码的程序和存储此类程序的机器可读存储介质。仍进一步的,可以经由诸如通过有线或无线连接载送的通信信号的任何介质以电子方式来传送本发明的实施例且实施例适当地涵盖这一点。
图6举例说明其中可以实现本发明的各种实施例的示例性计算机系统600。系统600可以用来实现诸如网络管理系统的任何上述计算机系统。计算机系统600被示为包括可以经由总线624被电耦合的硬件元件。该硬件元件可以包括一个或多个中央处理单元(CPU)602、一个或多个输入设备604(例如,鼠标、键盘等)以及一个或多个输出设备606(例如,显示设备、打印机等)。计算机系统600还可以包括一个或多个存储设备608。通过举例的方式,(一个或多个)存储设备608可以包括诸如盘驱动器、光学存储设备、诸如随机存取存储器(“RAM”)和/或只读存储器(“ROM”)(其可以是可编程的、闪速可更新的和/或类似的)的固态存储设备的设备。
计算机系统600可以另外包括计算机可读存储介质读取器612、通信系统614(例如,调制解调器、网卡(无线或有线)、红外通信设备等)、以及工作存储器618,其可以包括如上所述的RAM和ROM设备。在某些实施例中,计算机系统600还可以包括处理加速单元616,其可以包括数字信号处理器DSP、专用处理器、和/或类似物。
计算机可读存储介质读取器612可以被进一步连接到计算机可读存储介质610,一起(且在一个实施例中与(一个或多个)存储设备608组合地)全面地表示远程、本地、固定和/或可移动的存储设备加用于临时和/或更永久地包含、存储、传送和检索计算机可读信息的存储介质。通信系统614可以允许与网络和/或上文针对系统600所述的任何其它计算机交换数据。
计算机系统600还可以包括软件元件,其被示为当前位于工作存储器618内,包括操作系统620和/或其它代码622,诸如应用程序(其可以是客户端应用、网页浏览器、中间层应用、RDBMS等)。应认识到的是,计算机系统600的替换实施例可以与上文所述的计算机系统具有许多变化。例如,还可以使用定制硬件和/或可以用硬件、软件(包括便携式软件,诸如小程序)或两者来实现特定元件。此外,可以采用到诸如网络输入/输出设备的其它计算设备的连接。
用于存储多个指令或指令的各部分的存储介质和计算机可读介质可以包括在本领域中已知或使用的任何适当介质,包括存储介质和通信介质,诸如但不限于在用于存储和/或传送诸如计算机可读指令、数据结构、程序模块或其它数据的信息的任何方法或技术中实现的易失性和非易失性、可移动和不可移动的介质,包括RAM、ROM、EEPROM、闪速存储器或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光学存储器、盒式磁带、磁带、磁盘存储器或其它磁性存储设备、数据信号、数据传输或能够用来存储或传送期望信息且能够被计算机访问的任何其它介质。基于本文提供的公开和教导,本领域的普通技术人员将认识到用以实现各种实施例的其它方式和/或方法。
因此,将在说明性而非限制性的意义上看待本说明书和附图。然而,将显而易见的是,在不脱离如权利要求书中阐述的本发明的更广泛精神和范围的情况下可以对其进行各种修改和变化。
除非以其它方式明确说明,可以由用于相同、等价或类似目的的替换特征来替换在本说明书(包括任何所附权利要求、摘要和附图)中公开的每个特征。因此,除非以其它方式明确说明,所公开的每个特征仅仅是一类系列的等价或类似特征的一个示例。
本发明不限于任何前述实施例的细节。本发明扩展至在本说明书(包括任何所附权利要求、摘要和附图)中公开的特征中的任何新型的特征或任何新型的组合,或扩展至如此公开的任何方法或过程的步骤中的任何新型的步骤或任何新型的组合。不应将权利要求理解为仅仅覆盖前述实施例,而是还有落在权利要求范围内的任何实施例。
Claims (5)
1.一种用于检测网络中的网络地址转换(NAT)设备的系统,所述网络包括一个或多个主机和边缘网络设备,所述边缘网络设备包括:
处理器;以及
被耦合到所述处理器的存储器,所述存储器被配置为存储电子文件;
其中,所述处理器被配置为:
分析所述边缘网络设备的边缘端口处的进入分组的多个操作系统指纹签名;
确定所述多个指纹签名是否指示多个操作系统在所述边缘端口处共享同一网络地址;
如果所述多个指纹签名映射到多个操作系统,则确定NAT设备被连接到所述边缘端口;以及
如果所述多个指纹签名映射到单个操作系统,则确定NAT设备未被连接到所述边缘端口。
2.权利要求1所述的系统,其中,基于时间戳的格式、序号中的增加量、分组的长度和TCP选项字段中的一个或多个来生成所述多个指纹签名。
3.权利要求1所述的系统,其中,所述处理器被配置为在确定NAT设备被连接到所述边缘端口时生成警报。
4.权利要求3所述的系统,其中,所述处理器被配置为响应于所述警报执行动作。
5.权利要求4所述的系统,其中,所述处理器被配置为通过阻止由所述NAT设备对所述网络的接入来执行所述动作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610036741.4A CN105681487A (zh) | 2009-10-28 | 2009-10-28 | 用于nat设备的检测的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610036741.4A CN105681487A (zh) | 2009-10-28 | 2009-10-28 | 用于nat设备的检测的方法和装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980162190.4A Division CN102577248B (zh) | 2009-10-28 | 2009-10-28 | 用于nat设备的检测的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105681487A true CN105681487A (zh) | 2016-06-15 |
Family
ID=56301670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610036741.4A Pending CN105681487A (zh) | 2009-10-28 | 2009-10-28 | 用于nat设备的检测的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105681487A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108092876A (zh) * | 2017-11-23 | 2018-05-29 | 湖北大学 | 一种基于即时通讯应用的nat检测方法及系统 |
| CN109005179A (zh) * | 2018-08-10 | 2018-12-14 | 常州中价之星软件技术有限公司 | 基于端口控制的网络安全隧道建立方法 |
| CN110572325A (zh) * | 2019-09-06 | 2019-12-13 | 成都深思科技有限公司 | 一种nat路由器流量识别方法 |
| CN111866216A (zh) * | 2020-08-03 | 2020-10-30 | 深圳市联软科技股份有限公司 | 基于无线网络接入点的nat设备检测方法及系统 |
| CN114615017A (zh) * | 2022-02-09 | 2022-06-10 | 浙江远望信息股份有限公司 | 一种基于HTML5的Canvas指纹的NAT边界发现方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812394A (zh) * | 2006-03-03 | 2006-08-02 | 清华大学 | 使用即时消息软件的数据检测网络地址转换设备的方法 |
| US20060242704A1 (en) * | 2005-04-20 | 2006-10-26 | Cisco Technology, Inc. | Method and system for preventing operating system detection |
| CN101060397A (zh) * | 2006-04-20 | 2007-10-24 | 国际商业机器公司 | 检测网络地址转换装置的设备和方法 |
| US20090175197A1 (en) * | 2006-07-24 | 2009-07-09 | Oren Nechushtan | Method and system for detection of nat devices in a network |
| US7568224B1 (en) * | 2004-12-06 | 2009-07-28 | Cisco Technology, Inc. | Authentication of SIP and RTP traffic |
| US7599365B1 (en) * | 2005-10-12 | 2009-10-06 | 2Wire, Inc. | System and method for detecting a network packet handling device |
-
2009
- 2009-10-28 CN CN201610036741.4A patent/CN105681487A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7568224B1 (en) * | 2004-12-06 | 2009-07-28 | Cisco Technology, Inc. | Authentication of SIP and RTP traffic |
| US20060242704A1 (en) * | 2005-04-20 | 2006-10-26 | Cisco Technology, Inc. | Method and system for preventing operating system detection |
| US7599365B1 (en) * | 2005-10-12 | 2009-10-06 | 2Wire, Inc. | System and method for detecting a network packet handling device |
| CN1812394A (zh) * | 2006-03-03 | 2006-08-02 | 清华大学 | 使用即时消息软件的数据检测网络地址转换设备的方法 |
| CN101060397A (zh) * | 2006-04-20 | 2007-10-24 | 国际商业机器公司 | 检测网络地址转换装置的设备和方法 |
| US20090175197A1 (en) * | 2006-07-24 | 2009-07-09 | Oren Nechushtan | Method and system for detection of nat devices in a network |
Non-Patent Citations (2)
| Title |
|---|
| BEVERLY R: "A Robust Classifier for Passive TCP/IP Fingerprinting", 《PASSIVE AND ACTIVE NETWORK MEASUREMENT》 * |
| 李建华,严世强,石玉晶: "利用指纹技术识别网络中NAT主机", 《河北工业大学学报》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108092876A (zh) * | 2017-11-23 | 2018-05-29 | 湖北大学 | 一种基于即时通讯应用的nat检测方法及系统 |
| CN109005179A (zh) * | 2018-08-10 | 2018-12-14 | 常州中价之星软件技术有限公司 | 基于端口控制的网络安全隧道建立方法 |
| CN109005179B (zh) * | 2018-08-10 | 2020-11-06 | 常州中价之星软件技术有限公司 | 基于端口控制的网络安全隧道建立方法 |
| CN110572325A (zh) * | 2019-09-06 | 2019-12-13 | 成都深思科技有限公司 | 一种nat路由器流量识别方法 |
| CN111866216A (zh) * | 2020-08-03 | 2020-10-30 | 深圳市联软科技股份有限公司 | 基于无线网络接入点的nat设备检测方法及系统 |
| CN111866216B (zh) * | 2020-08-03 | 2022-10-28 | 深圳市联软科技股份有限公司 | 基于无线网络接入点的nat设备检测方法及系统 |
| CN114615017A (zh) * | 2022-02-09 | 2022-06-10 | 浙江远望信息股份有限公司 | 一种基于HTML5的Canvas指纹的NAT边界发现方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102577248B (zh) | 用于nat设备的检测的方法和装置 | |
| Fawcett et al. | Tennison: A distributed SDN framework for scalable network security | |
| EP3151470B1 (en) | Analytics for a distributed network | |
| US9860154B2 (en) | Streaming method and system for processing network metadata | |
| Dainotti et al. | Issues and future directions in traffic classification | |
| US10212224B2 (en) | Device and related method for dynamic traffic mirroring | |
| Kruegel et al. | Stateful intrusion detection for high-speed network's | |
| US9813447B2 (en) | Device and related method for establishing network policy based on applications | |
| CN102724317B (zh) | 一种网络数据流量分类方法和装置 | |
| CN102461089A (zh) | 用于使用标签进行策略执行的方法和设备 | |
| Suárez-Varela et al. | Flow monitoring in Software-Defined Networks: Finding the accuracy/performance tradeoffs | |
| Sarica et al. | A novel sdn dataset for intrusion detection in iot networks | |
| KR20110070464A (ko) | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 | |
| EP4002866A1 (en) | A device and method to establish a score for a computer application | |
| CN105681487A (zh) | 用于nat设备的检测的方法和装置 | |
| KR20190048264A (ko) | 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법 | |
| KR102129375B1 (ko) | 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법 | |
| Tang et al. | ADMS: An online attack detection and mitigation system for LDoS attacks via SDN | |
| Amaral et al. | Application aware SDN architecture using semi-supervised traffic classification | |
| Wijesinghe et al. | Botnet detection using software defined networking | |
| US8050266B2 (en) | Low impact network debugging | |
| JP2020022133A (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| Jeuk et al. | Universal cloud classification (ucc) and its evaluation in a data center environment | |
| Bolanowski et al. | The possibility of using LACP protocol in anomaly detection systems | |
| Park et al. | HEX switch: Hardware-assisted security extensions of OpenFlow |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170122 Address after: American Texas Applicant after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP Address before: American Texas Applicant before: Hewlett-Packard Development Company, L.P. |
|
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160615 |
|
| WD01 | Invention patent application deemed withdrawn after publication |