[发明专利]检测网络地址转换装置的设备和方法

说明书

技术领域

本发明涉及一种用于掌握这样的状态的技术，该状态为：未获得连接授权的终端通过使网络地址转换装置在其上工作而连接到已获得适当授权的、诸如PC的终端上。

背景技术

近来，未获得授权的计算机被阻止连接到公司等的内部网等等上，以防止信息泄露和扩散计算机病毒。为此，在授权交换机处，以及在无线接入点处，在根据IEEE 802.1X等授权终端之后，通过利用其MAC地址(介质存取控制地址)，或通过组合利用MAC地址和IP地址(网际协议地址)，来鉴别授权终端。在每个产品和系统中执行相同的鉴别，这样使检测未经授权而连接的终端成为可能。如上所述，通常使用通过利用终端的MAC地址和IP地址来鉴别终端的技术。

另一方面，存在一种用于将未经授权的终端以下述方式连接到网络的技术。具体地说，在已获得连接授权的授权终端中安装多个LAN卡，接着使授权终端上的NAT(网络地址转换)和NAPT(网络地址端口转换)工作。从而，将未经授权的终端经由授权终端的NAT或NAP连接到网络。公司的雇员可以没有恶意地使用这种连接将雇员在家使用的PC(个人计算机)到公司的网络。在该情况下，无需在其中安装防病毒软件，就可连接该PC。在最坏的情况下，该PC可能在被计算机病毒感染的状态下连接到网络。不应允许这种未获得连接授权的终端连接到网络。

然而，由于PC经由授权终端的NAT/NAPT连接到网络，所以难以检测到该PC，因而发自未获得连接授权的PC的分组的MAC地址和IP地址被授权终端的所替代。由于这个原因，即使当对内部网或在内部网中存在可疑的访问或操作时，网络管理员很难发现这种访问或操作的来源。

在非专利文献1中，为了发现均运行NAT/NAPT的上述终端，通过利用sFlow协议(RFC 3176)，在分析服务器中收集通过交换机传递的信息。分析服务器检查IP报头的TTL(存在时间)值，从而识别每个运行NAT/NAPT的终端。在非专利文献2中，虽然没有说明技术的细节，但是可看出来使用通过网络传递的网络数据的TCP(传输控制协议)报头的TTL值、时间戳值等，识别出运行NAT的终端。

在非专利文件1和2的每个中，由于仅仅通过监视分组来执行检测，所以NAT/NAPT检测的速度不是很高。而且，由于以下原因，不能认为这些技术在检测NAT/NAPT方面高度可靠。虽然TTL值的初始值对于Microsoft Windows(注册商标)OS(操作系统)来说是128，而对于Linux(注册商标)OS来说是64，但是用户可以通过改变OS的注册表或配置文件，轻易的操纵每个这样的值。

(非专利文献1)Detecting NAT Devices using sFlow(URL：http://www.sflow.org/detectNAT/)

(非专利文献2)NATDet-NAT Detection Tool(URL：http://elceef.itsec.pl/natdet/)

发明内容

[本发明要解决的问题]

有必要以高准确度来检测运行诸如NAT或NAPT的网络地址转换装置的终端，并且使该终端不用作网络地址转换装置。

[解决问题的手段]

为了解决上述问题，本发明提供了一种检测网络地址转换装置的方法。该方法是检测将网络数据传送到第一设备(例如，经由NAT/NAPT连接到网络的设备)的网络地址转换装置的方法。该方法包括步骤：获得连接到网络的第二设备(例如，单个PC或连接到网络的多个PC)的地址；产生伪网络数据，其中该地址被设置成目的地址，以及其中网络数据能够被传送的次数被设置成到达第一设备所需的传送次数；将伪网络数据发送到第二设备；从第二设备检测有关伪网络数据不能被进一步传送的消息；以及响应于检测到该消息，确定第二设备正在运行网络地址转换装置。该方法使得能够以高准确度检测运行NAT或NAPT的终端。

上述方法进一步包括以下步骤。具体地说，利用该步骤，在确定第二设备正在运行网络地址转换装置的情况下，通过改变发送到已连接到网络的设备的网络数据能够被传送的次数，使网络地址转换装置无效。因为有关NAT/NAPT的无效处理被配置成在NAT/NAPT被检测到之后自动执行，所以该方法使得管理网络更加容易。

附图说明

图1示出了用于检测运行网络地址转换装置的终端的设备的硬件结构的略图。

图2是网络地址转换装置检测设备所运行的网络环境的例子。

图3示出了网络地址转换装置检测设备的功能的略图。