[发明专利]一种基于多路径报文检测分析的NAT关联检测方法

说明书

本发明公开了一种基于多路径报文检测分析的NAT关联检测方法，其主要方法为通过分析大量报文的各层协议字段和Payload净荷数据，以及时间戳和累计字节数等统计信息，找出NAT关联的流。还可通过分析这些关联流的源MAC地址和目的MAC地址确定关联流的转发路径，即报文经过的网络设备。本发明可以快速的从大量报文中提取出多对NAT关联的流，可以帮助运维人员了解网络运行状况，并在发生故障时帮助运维人员定位问题。

技术领域

本发明涉及计算机领域，具体涉及一种基于多路径报文检测分析的NAT关联检测方法。

背景技术

NAT（Network Address Translator，网络地址转换），它是一种把内部私有网络IP地址翻译成公有网络IP地址的技术，在IPv4地址日益缺乏的情况下，NAT的主要目的是使地址能够重用。NAT很好地解决了地址紧缺的问题，隐藏并保护网络内部的计算机，但也使得网络变得更复杂，当网络服务出现故障时，定位问题也变得更困难。

由于NAT技术会转换IP地址及传输层端口，在终端设备（如服务器、个人电脑）发出的一条流在经过NAT设备转换后会变为另一条新的流，新旧两条流除Payload数据净荷相同外，传输层以下各层协议的数据可能都不相同，wireshark等报文分析软件也会视其为两条不同的流，即使是资深的网络专家，在面对大量的数据流时，也不能快速的从成千上万条流中分析出有哪些流是NAT关联的流，这就给分析网络中的流量路径造成了极大的困难，还会付出很大的时间和金钱成本。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于多路径报文检测分析的NAT关联检测方法解决了不能快速找出NAT关联流的问题。

为了达到上述发明目的，本发明采用的技术方案为：

提供一种基于多路径报文检测分析的NAT关联检测方法，其包括以下步骤：

S1、解析pcap格式的网络报文文件，获取源MAC地址、目的MAC地址、以太网类型、五元组、TTL、TCPsequence序列号、TCP ack序列号、TCP Flag、Payload数据长度，以及捕获报文时的时间戳；并根据捕获报文时的时间戳设置该报文的报文ID；

S2、对于TCP协议报文和UDP协议报文，判断是否可以根据其五元组在内存报文流数据结构中查找到其所属的流，若是则获取并进入步骤S4，否则进入步骤S3；

S3、将该报文的五元组为基础数据添加至内存中，并根据该报文的长度设置其所属流的接收总字节和发送总字节，根据该报文的捕获时间设置其所属流ID和流的起始时间戳；设置这个报文在这条流的发送次序和接收次序，进入步骤S5；

S4、将该报文所属流的接收总字节或发送总字节与该报文的长度相加，并设置该报文在这条流的发送次序和接收次序；

S5、将TCP协议报文和UDP协议报文解析得到的数据、所属的流ID和TCP协议报文与UDP协议报文被捕获时的时间戳保存至数据库中，使每条记录对应一条报文，即报文记录；将内存报文流数据结构中的每一条流的数据添加到数据库中，使每条记录对应一条流；

S6、对数据库中的所有流按照流ID升序进行排序，判断两两相邻的流的起始时间戳差值是否在第一时差阈值内，若是则进入步骤S7，否则判定该两条流不是NAT关联的流；

S7、判断该两条流的L4层协议是否相同，若是则将该两条流作为关联流组合并进入步骤S8，否则判定该两条流不是NAT关联的流；

S8、从数据库中获取流发送次序和流接收次序小于次序阈值、且非重传的报文记录，并将获取的报文记录按照流ID和报文ID进行升序排序；

S9、对于步骤S8中得到的报文记录，从第一个报文开始将其流ID与关联流组合中的流ID进行比较，取出该报文序列中流ID等于关联流组合的流ID的2组报文；