[发明专利]一种基于终端时间变化的NAT边界发现方法

说明书

【技术领域】

本发明涉及网络安全监测的技术领域，特别涉及一种基于终端时间变化的NAT边界发现方法。

【背景技术】

NAT(Network Address Translation)，即网络地址转换。网络地址转换技术作为目前IPv4地址资源日益枯竭的临时解决办法，被广泛营运，大至运行商，小至家庭网络。它的主要的功能就是通过网络地址转换使内网的多个终端用户公用一个出口IP地址，所以从网络出口来看所有的网络数据包几乎都被剥去了其终端自身所特有的信息。它在节约了大量的IPv4地址资源的同时也增加了网络维护管理的难度，特别是一些较大型的网络如城域网等，私接乱接NAT网络随处可见，对网络的正常运行造成了不良影响。而且由于NAT的特性，从网络出口几乎辨别不出NAT边界点。为了解决以上问题，有必要提出一种基于终端时间变化的NAT边界发现方法。

【发明内容】

本发明的目的在于克服上述现有技术的不足，提供一种基于终端时间变化的NAT边界发现方法，其旨在解决现有技术中网络地址转换技术增加了网络维护管理的难度，私接乱接NAT网络随处可见，对网络的正常运行造成了不良影响，且从网络出口几乎辨别不出NAT边界点的技术问题。

为实现上述目的，本发明提出了一种基于终端时间变化的NAT边界发现方法，包括如下步骤：

S1)、在核心交换机上旁路一边界硬件设备，通过边界硬件设备镜像监听所有网络上通过交换机传输的数据包；

S2)、边界硬件设备对镜像数据包中HTTP协议的数据流进行解析，并对HTTP协议的GET请求包进行数据处理，拦截“.js”类型的GET请求包；

S3)、由边界硬件设备直接返回终端设备一个伪造的并且与先前拦截的GET请求包相匹配的HTTP应答包，所述的HTTP应答包包含了获取终端时间以及把获取的终端时间上传到指定服务器的js脚本；

S4)、终端设备在接收到伪造的HTTP应答包后开始执行js脚本，获取终端时间并将获取到的终端时间信息发送到js脚本中的指定服务器；

S5)、指定服务器接收终端设备上传的数据并记录数据信息；

S6)、指定服务器通过定期运行分析服务，对记录的所有数据信息进行分析，对同个IP地址下所记录的所有服务器时间以及终端时间进行计算，按照时间线性特征匹配，如果同个IP地址有多个同时存在的时间线性特征的，则判断该IP地址为NAT边界点。

作为优选，所述的步骤S3至步骤S6中的指定服务器为指定搭建在内网上的服务器。

作为优选，所述的步骤S5中，终端设备上传的数据包括终端IP地址、上传时间及其上传内容中所获取到的终端时间。

作为优选，所述的步骤S5中记录的数据信息还包括指定服务器接收数据时的服务器时间。

作为优选，所述的步骤S6中指定服务器分析出NAT边界点后，立即记录并进行上报。

本发明的有益效果：与现有技术相比，本发明提供的一种基于终端时间变化的NAT边界发现方法，基于旁路劫持来获取终端的时间特性，以此来区分NAT边界，通过在核心交换机上旁路一边界硬件设备，由边界硬件设备镜像监听所有终端设备通过交换机传输的数据包，并拦截镜像数据包中HTTP协议中“.js”类型的GET请求包，并返回一个与所拦截GET请求包相匹配的HTTP应答包至终端设备，当终端设备开始执行HTTP应答包后，指定服务器就会接收到IP地址、以及该IP地址上的终端运行时间等信息，通过指定服务器分析统计，如果同个IP地址有多个同时存在的时间线性特征的，则该IP地址为NAT边界点，本发明通过终端时间变化特性来准确辨别Nat边界点，有助于网络维护管理及网络的正常运行。

本发明的特征及优点将通过实施例结合附图进行详细说明。

【附图说明】

图1是本发明实施例一种基于终端时间变化的NAT边界发现方法的流程图。

【具体实施方式】

为使本发明的目的、技术方案和优点更加清楚明了，下面通过附图及实施例，对本发明进行进一步详细说明。但是应该理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

参阅图1，本发明实施例提供一种基于终端时间变化的NAT边界发现方法，包括如下步骤：

S1)、在核心交换机上旁路一边界硬件设备，通过边界硬件设备镜像监听所有网络上通过交换机传输的数据包。