本發(fā)明提供NAT設(shè)備檢測方法及系統(tǒng)，方法包括接收鏡像流量服務(wù)器在采集到的所有TCP協(xié)議的第一次握手流量包；分別提取出每個第一次握手流量包中源IP、發(fā)包時間以及源端口號，作為一個三元組數(shù)據(jù)；將得到的三元組數(shù)據(jù)劃分為至少一個小分組，對得到的小分組進行過濾；依次比較相鄰兩個小分組中三元組數(shù)據(jù)在時間維度上是否存在重疊部分，根據(jù)比較結(jié)果判斷是否存在NAT設(shè)備。該方法通過統(tǒng)計比較TCP協(xié)議握手流量包中三元組數(shù)據(jù)的關(guān)系，可以檢測某一個源IP是否存在NAT設(shè)備，以過濾分組、比較相鄰兩個小分組中三元組數(shù)據(jù)在時間維度上的重疊關(guān)系的方式，進一步提高了方法的泛化能力，對復(fù)雜的網(wǎng)絡(luò)環(huán)境也能夠有很高的檢測準(zhǔn)確度。

技術(shù)領(lǐng)域

本發(fā)明屬于無線網(wǎng)絡(luò)技術(shù)領(lǐng)域，具體涉及基于無線網(wǎng)絡(luò)接入點的NAT設(shè)備檢測方法及系統(tǒng)。

背景技術(shù)

無線接入點(Access Point，AP)是一個無線網(wǎng)絡(luò)的接入點，俗稱“熱點”，主要有路由交換接入一體設(shè)備和純接入點設(shè)備。

網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)在計算機網(wǎng)絡(luò)中是一種在IP數(shù)據(jù)包通過路由器或防火墻時重寫來源IP地址或目的IP地址的技術(shù)。

TCP三次握手是TCP協(xié)議在建立通信連接時，先進行三次握手確保成功建立連接。其中，第一次握手時，請求方會發(fā)送一個包含SYN標(biāo)記的包到回復(fù)方，并進入SYN_SENT狀態(tài)，等待回復(fù)方確認(rèn)。

在寬帶家庭、大樓、校園、倉庫以及工廠等場景中，PC和一些便攜式設(shè)備經(jīng)常利用AP接入網(wǎng)絡(luò)。任何一臺裝有無線網(wǎng)卡的PC可以通過自身的AP來分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)的資源。理論上，當(dāng)網(wǎng)絡(luò)中增加一個無線AP之后，即可成倍地擴展網(wǎng)絡(luò)覆蓋直徑，還可使網(wǎng)絡(luò)中容納更多的設(shè)備，從而滿足在不同環(huán)境下便攜式終端設(shè)備共享網(wǎng)絡(luò)的要求。在很多無線AP中，一般包括了網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議，支持網(wǎng)絡(luò)連接共享，這樣多臺上網(wǎng)設(shè)備利用NAT地址轉(zhuǎn)換技術(shù)后只通過一個公有IP地址就可以訪問互聯(lián)網(wǎng)的資源，從而解決了IPV4地址不足的問題。

在實際應(yīng)用中常見以下場景：在小型無線局域網(wǎng)內(nèi)，一臺臺式電腦通過有線連接網(wǎng)絡(luò)資源，然后臺式電腦利用自帶的無線網(wǎng)卡創(chuàng)建一個AP接入點，其他可以接受熱點信號的設(shè)備，都可以通過這臺臺式電腦上網(wǎng)，當(dāng)局域網(wǎng)內(nèi)的設(shè)備聯(lián)機上網(wǎng)時，設(shè)備共用臺式電腦的IP與外界進行通信。對外界來說，感覺對方只有一個設(shè)備與自己通信，基于以上場景在網(wǎng)絡(luò)流量監(jiān)管的系統(tǒng)中，除臺式電腦外，其他設(shè)備在一定程度上逃離了監(jiān)管，管理員無法輕易感知其他設(shè)備的存在，也無法獲知連接到局域網(wǎng)內(nèi)設(shè)備的安全。特別是在重要的辦公區(qū)域，如果有員工私搭A(yù)P，供其他不符合安全檢查的設(shè)備共享網(wǎng)絡(luò)時，很可能會被攻擊者攻破獲得網(wǎng)絡(luò)內(nèi)的重要數(shù)據(jù)信息，從而給企業(yè)帶來一定的損失，因此，檢測基于無線網(wǎng)絡(luò)AP方式的NAT設(shè)備具有一定的實際應(yīng)用意義。

但是現(xiàn)有的檢測方法中或多或少都存在一定問題。例如現(xiàn)有判斷是否使用同一個IP不同MAC地址的方法，該方法有很大的應(yīng)用局限性，因為當(dāng)IP包經(jīng)過路由器時，MAC會被路由器重新封裝，從而導(dǎo)致方法檢測結(jié)果出錯。還例如現(xiàn)有利用TTL值的變化來檢測是否存在NAT設(shè)備的方法，該方法會因為TTL值被人為的修改而導(dǎo)致檢測結(jié)果出錯。還比如現(xiàn)有通過判斷IP協(xié)議首部包含的字段Identification值是否連續(xù)的方法，該方法在實際網(wǎng)絡(luò)環(huán)境應(yīng)用中的檢測準(zhǔn)確度比較低。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)中的缺陷，本發(fā)明提供一種基于無線網(wǎng)絡(luò)接入點的NAT設(shè)備檢測方法及系統(tǒng)，提高基于無線網(wǎng)絡(luò)AP方式的NAT設(shè)備檢測的準(zhǔn)確度。

第一方面，一種基于無線網(wǎng)絡(luò)接入點的NAT設(shè)備檢測方法，包括以下步驟：

接收鏡像流量服務(wù)器在網(wǎng)絡(luò)匯聚層中采集到的所有TCP協(xié)議的第一次握手流量包；

分別提取出每個第一次握手流量包中源IP、發(fā)包時間以及源端口號，作為一個三元組數(shù)據(jù)；

將得到的三元組數(shù)據(jù)劃分為至少一個小分組，對得到的小分組進行過濾；