技術領域

本發明涉及一種用于掌握這樣的狀態的技術，該狀態為：未獲得連接授權的終端通過使網絡地址轉換裝置在其上工作而連接到已獲得適當授權的、諸如PC的終端上。

背景技術

近來，未獲得授權的計算機被阻止連接到公司等的內部網等等上，以防止信息泄露和擴散計算機病毒。為此，在授權交換機處，以及在無線接入點處，在根據IEEE?802.1X等授權終端之后，通過利用其MAC地址(介質存取控制地址)，或通過組合利用MAC地址和IP地址(網際協議地址)，來鑒別授權終端。在每個產品和系統中執行相同的鑒別，這樣使檢測未經授權而連接的終端成為可能。如上所述，通常使用通過利用終端的MAC地址和IP地址來鑒別終端的技術。

另一方面，存在一種用于將未經授權的終端以下述方式連接到網絡的技術。具體地說，在已獲得連接授權的授權終端中安裝多個LAN卡，接著使授權終端上的NAT(網絡地址轉換)和NAPT(網絡地址端口轉換)工作。從而，將未經授權的終端經由授權終端的NAT或NAP連接到網絡。公司的雇員可以沒有惡意地使用這種連接將雇員在家使用的PC(個人計算機)到公司的網絡。在該情況下，無需在其中安裝防病毒軟件，就可連接該PC。在最壞的情況下，該PC可能在被計算機病毒感染的狀態下連接到網絡。不應允許這種未獲得連接授權的終端連接到網絡。

然而，由于PC經由授權終端的NAT/NAPT連接到網絡，所以難以檢測到該PC，因而發自未獲得連接授權的PC的分組的MAC地址和IP地址被授權終端的所替代。由于這個原因，即使當對內部網或在內部網中存在可疑的訪問或操作時，網絡管理員很難發現這種訪問或操作的來源。

在非專利文獻1中，為了發現均運行NAT/NAPT的上述終端，通過利用sFlow協議(RFC?3176)，在分析服務器中收集通過交換機傳遞的信息。分析服務器檢查IP報頭的TTL(存在時間)值，從而識別每個運行NAT/NAPT的終端。在非專利文獻2中，雖然沒有說明技術的細節，但是可看出來使用通過網絡傳遞的網絡數據的TCP(傳輸控制協議)報頭的TTL值、時間戳值等，識別出運行NAT的終端。

在非專利文件1和2的每個中，由于僅僅通過監視分組來執行檢測，所以NAT/NAPT檢測的速度不是很高。而且，由于以下原因，不能認為這些技術在檢測NAT/NAPT方面高度可靠。雖然TTL值的初始值對于Microsoft?Windows(注冊商標)OS(操作系統)來說是128，而對于Linux(注冊商標)OS來說是64，但是用戶可以通過改變OS的注冊表或配置文件，輕易的操縱每個這樣的值。

(非專利文獻1)Detecting?NAT?Devices?using?sFlow(URL：http://www.sflow.org/detectNAT/)

(非專利文獻2)NATDet-NAT?Detection?Tool(URL：http://elceef.itsec.pl/natdet/)

發明內容

[本發明要解決的問題]

有必要以高準確度來檢測運行諸如NAT或NAPT的網絡地址轉換裝置的終端，并且使該終端不用作網絡地址轉換裝置。

[解決問題的手段]

為了解決上述問題，本發明提供了一種檢測網絡地址轉換裝置的方法。該方法是檢測將網絡數據傳送到第一設備(例如，經由NAT/NAPT連接到網絡的設備)的網絡地址轉換裝置的方法。該方法包括步驟：獲得連接到網絡的第二設備(例如，單個PC或連接到網絡的多個PC)的地址；產生偽網絡數據，其中該地址被設置成目的地址，以及其中網絡數據能夠被傳送的次數被設置成到達第一設備所需的傳送次數；將偽網絡數據發送到第二設備；從第二設備檢測有關偽網絡數據不能被進一步傳送的消息；以及響應于檢測到該消息，確定第二設備正在運行網絡地址轉換裝置。該方法使得能夠以高準確度檢測運行NAT或NAPT的終端。

上述方法進一步包括以下步驟。具體地說，利用該步驟，在確定第二設備正在運行網絡地址轉換裝置的情況下，通過改變發送到已連接到網絡的設備的網絡數據能夠被傳送的次數，使網絡地址轉換裝置無效。因為有關NAT/NAPT的無效處理被配置成在NAT/NAPT被檢測到之后自動執行，所以該方法使得管理網絡更加容易。

附圖說明

圖1示出了用于檢測運行網絡地址轉換裝置的終端的設備的硬件結構的略圖。

圖2是網絡地址轉換裝置檢測設備所運行的網絡環境的例子。

圖3示出了網絡地址轉換裝置檢測設備的功能的略圖。