[发明专利]基于IPID和概率统计模型的NAT主机个数检测方法

说明书

本发明涉及一种基于IPID和概率统计模型的NAT主机个数检测方法。该方法把一段整体时间内的数据包，平均分割成n个时间段的数据包进行处理，在每个时间段里采用IPID的方法来得到IPID序列集，然后再对每两个相邻的时间段的IPID序列集计算交叉序列的个数，最终再通过整体来计算NAT后主机的总的个数。本发明能够解决IPID检测法中存在的序列混淆、序列间断问题，提高NAT主机个数计算的准确率。

技术领域

本发明属于网络技术领域，具体涉及一种基于IPID和概率统计模型的NAT主机个数检测方法。

背景技术

随着接入Internet的计算机数量的极速增长，IP地址资源也显得越来越紧张。一般用户几乎申请不到整段的C类IP地址，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。

NAT(Network Address Translation,网络地址转化)技术作为一种暂时解决IP地址不足的过渡技术，它是一个IETF标准，它能够让一个机构里面的所有用户可以通过有限个公网IP连接入Internet，即把内部私有网络地址转换成合法的公网IP地址的技术。NAT它不止解决了IP不足的问题，而且还能有效的避免来自网络外部的攻击，隐藏并保护网络内部的计算机。虽然NAT技术给我们带来了很多好处，但同时也有它带来的弊端，比如给网络管理和监控带来了一些不可避免的困难，多用户私自共享上网，更有甚者建立黑网吧经营逃避监管。这些都给运营商带来了很多不利因素。因为在基于NAT设备的共享接入网络环境中，设备后的主机对于其他公网设备是透明的，主机IP和主机数量等信息对于外部网络都是不可见的，因此，运营商无法轻易的确定在一个公网IP地址后面有多少个主机，所以通过使用一种方法来计算NAT设备后面的主机数是非常有必要的了。

在目前现有的检测技术中主要以IPID检测法为代表，本发明也主要是基于这种检测方法之上；也有人提出了一种基于CookieID技术的NAT后面的主机个数的计算方法，下面简单的对这两种检测方法进行介绍。

(1)IPID检测法：IPID指的是IP报文首部的标识域，长度为16比特，它用来唯一标示一个IP报文，在实际的应用中通常把它当做一个计数器，不论数据包属于哪一个链接，同一台主机每发出一个IP包它的IPID值递增1，但是不同的主机之间的IPID值的增长是相互独立的，因为NAT后的每台主机产生的IPID增长轨迹相同的概率非常小，所以我们可以通过分析给定的IP地址发出的数据包的IPID有多少条增长轨迹就可以确定这个地址后有多少台主机了。

(2)CookieID技术主机检测法：Cookie是大部分网站为了辨别身份而存储在用户本地终端的数据，Cookie ID是通过name＝value这种方式存储的，同一网站为不同的用户分配的ID值不同，所以可以通过分析NAT发出的数据包中的CookieID来确定NAT后面有多少台主机，因为每一台主机它在同一个网站中的CookieID值是不同的。

IPID序列检测法的缺陷是：NAT内部发生通信的主机其序列会发生变化，包重传，逆序的影响，从而使得各个主机的序列之间可能存在混淆。IPID轨迹的获取过分的依赖于是否能够获连续的获得目标IP发出的数据包，当主机使用多线程下载工具时会使得IPID值有变化，使得IPID值失去规律性，一般表现为同一个主机的序列发生间断而变成多个序列，从而影响IPID序列检测法的准确性，导致误判或多检。

CookieID技术主机检测法的缺陷是：当有些主机它没有访问所分析的CookieID的网站时，就无法确定主机个数了，因此无法满足这种用户随机访问网站的情况，所以在NAT后的主机访问的网站随机性大，分布比较广的情况下，这种技术的主机个数计算方法的准确性难以满足需求，同时计算的时间也比较长。

发明内容