NAT转发报文分析

NAT 转发报文分析

作者： pillal CCIE#27826 Email ：

背景：校园网或小区网络经常用私设 NAT服务来进行非法上网，通过私接 NAT设备来逃避计费或作大流量作业等。对网络管理系统以及计费系统会产生一 定的影响， 但由于此行为极其隐蔽而很难被辨别和检测， 一直成为网络管理中棘 手的问题。

为此来模拟此行为，并对相应通信数报文进行收集分析，但由于 在 实验室 环境中完成，所以难免有不全面性，并且在此不作现实可操作性讨论和 NAT转换 过程说明。

设备：

Switch（支持 Mirror/Span）、网管工作站（Sniffer 软件）、Gateway、NAT 设备 （TP-link ）、 PC。

拓朴图：

数据梳崖 分析

\\92.l ??.2.55 GW 192.16K2.1

说明：黑虚线以下部份对于网络管理是不可见的， 而且其原始报文格式与被 NAT

转换后的报文相同，仅在通过 NAT设备时对相应地址（2/3）的进行正常转 换，所以在此不对虚线以下的原始报文作分析。

步骤：

一、实验前期准备

1按上图所示搭建测试环境，黑虚线以上网络互通； 2 Switch 做端口镜像（Mirror）

网管工作站接收PC主机所有的数据包（线色虚箭头方向）； 3 NAT设备

WAN和LAN分配IP，让PC的通信正常(GW/Switch配置不变)；WAN 192.168.123.90(outside) LAN:192.168.2.1(inside)

4网管工作站

安装完成相关 Sniffer 软件，收集数据包。 二、数据包收集分析

1. PC进行正常的通信

ICMP+DNS+Http

192.168 2 55 <-->Any IP 2. 网管工作站进行数据报文的收集 2.1 ICMP 报文

192.168.123.9CH202.96.134.134 （request）

经过 NAT 设备之后数据文源 /目 MAC 地址将更换 （通过路由器相同）， 源IP地址同样也被更换，192.168.2.X/24后面的主机地址及相关信息完全被 隐藏起来。但是从数据报文中还是可以看到异常信息。

1．通过此数据包的源 MAC 地址对应该分配到的硬件厂商名 （MAC 全球厂 商分配表）；从下图红线部份可以看到是厂商名为 TP-link（TP-Link 前缀 hex 00:0A:EB），从以上信息可初步判断可能为 NAT设备。

2第二红框中看到TTL值127（TTL生存时间，IP报头的参数，数据包每经 过一个路由器 /子网将减 1， windows 平台 TTL 初始值为 128）， 127=128-1 由此可以怀疑此数据包之前已经跨越了一个路由 /子网,可以推定前面有 NAT 设备。

13 JiLfft-

h

T = 0'x000'00000 S = 0x0000000'0 L = 79 T = 1S: 31:20 _ S3S2-56000 D�/27/ZOOe

白‘?^p\ 耳thjefiuelt Jteacl些

0es^iiikationi 00:12 z 0Hz 9Sz 43 : 27

Soiarae :

Oa：OA；￡B；PD：21 环en 活曲 Tp-lis^ T&^i

；DQ；沁調 S'

0

i-吶 0 P rotocol Tygi&: 0x0800 JF

HP 用皀直违电t* 一 賈irt?电疋n」巨匕 工亡□匕ducilL 1)|吕电 包口曲

.VerrsdLon：

4

1

討?? 0

Hjeanier LengiLli; 5

(20 bytes J Di.f fereviLtLated Services^00000000 Q Total Length: �0 ［叫? Identifier: 36497

1OscZ04e 1109 | ICeaid^T Cluedwn： 2 Source IP Address: j D?st. IP Addi^efs: ln.lLei?iie-t ConiroL 1SZ.166.1Z3.SO I 202 9fi.134.134 | lleas-ag^es PjcoStacol 8 Saticr ReqMefi t

ICMP Type： ICMV Code; ICW dwckffum:

0

0xA837

Identifier:

S earuenjce ^umbez?:

0x0406 OxlEA丄

-r

Ethernct Header

CO:丄2:0B:36:43:37

Souxrce :

PK*D tocaX Tjpe: L_...

00： 0A: EB: 10; 31: JL5 SfamnzHwra 7^-liiik Tea2az2)(5/ J1: CxDQQO ZF ?co七 QCPI

OxCBAEB^np 3皿2 日 2.2HTTP DNS报文与ICMP以上两个特性相同（不作详细说明）

I…?

￥

IP He vie x* - Inlefne t

TvtaZL Lem^ti:

■40

Xdpnti flex:

Eragmentat xoni Flags?% 010

|一?

；■— ?

Ez^a.gvnent Offset :

Time Va Live:

PirotocaL:

C (0 127

E TCP - Ttrj^isxisss.^ C-M2trci Ffotwo丄 CxASEA

192.169*123.90 �□.丄91.61. &1 Protocol

JltadET Clwrhsum: J D^&t. IP JLddiredS : 一|

丁 TCI

豐 rHispDNtL Con±Qol

0

@ Source Port: Destination Port:

(HTTP)

....

*

Destliiati on z Source; Protocol Tjpe:

Version.:

00:12:0E:36:43： 3?

00:QA:ZB;DO;31:A5 St2wstien Tp-link Tec：li:DC:3L:A5 oxoetoo IF

4

0

—

XP Header - Internet PI:OLDCD1 Datagcan.

j E

1 E 二

◎ r 0

5 「E0 Ho旦也皀H luEiugrth：

Dl￡ferenti-at?d Services: ^CkOOOOOOO

666& OQ …Ditfdulfe

......66 J^o-i -ACT 57

El-a^s；

35073 ^□00

0 B - R&s $rv@dt ”0” Nmy Frjgraient …0 LdJ t Fr# giasnt 0 CO 2>ytes； 1Z7 17 UTf QX3B0Z

192. 168-123?号口

192- ICS- 12:3 . S

Total Lenug-th, z Identifier r

0

j

=

I

—

9 0

ini H

Er^gment Offset: TiJiie Un Live: Protacol:

Header Checksun;

Sdiurce IP Address: Dest- _ TP Ajii￡lx?ess :

3T

ITOP — Vsep JBa.t-ajyi'adTi

0 Source Port:

DesLo-BLati DTIL Ptiirt-: Len.^t-11：:

2524 -5j3 fe i Mi ve -lit

E3 27

=

—

Q

0lS(J4O UDP ChecksWIL：

B?TS: ID=0sEtA7 Qu—1 眄二Cl JI-u-0 Ad=0

(DNS)

ARP报文

NAT设备在通信中会产生相关 ARP广播数据包，通过ARP报文可看到源MAC地 址，以及解析成相应的厂商（ARP包无TTL值）。如下图：