[发明专利]基于无线网络接入点的NAT设备检测方法及系统

说明书

本发明提供NAT设备检测方法及系统，方法包括接收镜像流量服务器在采集到的所有TCP协议的第一次握手流量包；分别提取出每个第一次握手流量包中源IP、发包时间以及源端口号，作为一个三元组数据；将得到的三元组数据划分为至少一个小分组，对得到的小分组进行过滤；依次比较相邻两个小分组中三元组数据在时间维度上是否存在重叠部分，根据比较结果判断是否存在NAT设备。该方法通过统计比较TCP协议握手流量包中三元组数据的关系，可以检测某一个源IP是否存在NAT设备，以过滤分组、比较相邻两个小分组中三元组数据在时间维度上的重叠关系的方式，进一步提高了方法的泛化能力，对复杂的网络环境也能够有很高的检测准确度。

技术领域

本发明属于无线网络技术领域，具体涉及基于无线网络接入点的NAT设备检测方法及系统。

背景技术

无线接入点(Access Point，AP)是一个无线网络的接入点，俗称“热点”，主要有路由交换接入一体设备和纯接入点设备。

网络地址转换(Network Address Translation，NAT)在计算机网络中是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。

TCP三次握手是TCP协议在建立通信连接时，先进行三次握手确保成功建立连接。其中，第一次握手时，请求方会发送一个包含SYN标记的包到回复方，并进入SYN_SENT状态，等待回复方确认。

在宽带家庭、大楼、校园、仓库以及工厂等场景中，PC和一些便携式设备经常利用AP接入网络。任何一台装有无线网卡的PC可以通过自身的AP来分享有线局域网络甚至广域网络的资源。理论上，当网络中增加一个无线AP之后，即可成倍地扩展网络覆盖直径，还可使网络中容纳更多的设备，从而满足在不同环境下便携式终端设备共享网络的要求。在很多无线AP中，一般包括了网络地址转换(NAT)协议，支持网络连接共享，这样多台上网设备利用NAT地址转换技术后只通过一个公有IP地址就可以访问互联网的资源，从而解决了IPV4地址不足的问题。

在实际应用中常见以下场景：在小型无线局域网内，一台台式电脑通过有线连接网络资源，然后台式电脑利用自带的无线网卡创建一个AP接入点，其他可以接受热点信号的设备，都可以通过这台台式电脑上网，当局域网内的设备联机上网时，设备共用台式电脑的IP与外界进行通信。对外界来说，感觉对方只有一个设备与自己通信，基于以上场景在网络流量监管的系统中，除台式电脑外，其他设备在一定程度上逃离了监管，管理员无法轻易感知其他设备的存在，也无法获知连接到局域网内设备的安全。特别是在重要的办公区域，如果有员工私搭AP，供其他不符合安全检查的设备共享网络时，很可能会被攻击者攻破获得网络内的重要数据信息，从而给企业带来一定的损失，因此，检测基于无线网络AP方式的NAT设备具有一定的实际应用意义。

但是现有的检测方法中或多或少都存在一定问题。例如现有判断是否使用同一个IP不同MAC地址的方法，该方法有很大的应用局限性，因为当IP包经过路由器时，MAC会被路由器重新封装，从而导致方法检测结果出错。还例如现有利用TTL值的变化来检测是否存在NAT设备的方法，该方法会因为TTL值被人为的修改而导致检测结果出错。还比如现有通过判断IP协议首部包含的字段Identification值是否连续的方法，该方法在实际网络环境应用中的检测准确度比较低。

发明内容

针对现有技术中的缺陷，本发明提供一种基于无线网络接入点的NAT设备检测方法及系统，提高基于无线网络AP方式的NAT设备检测的准确度。

第一方面，一种基于无线网络接入点的NAT设备检测方法，包括以下步骤：

接收镜像流量服务器在网络汇聚层中采集到的所有TCP协议的第一次握手流量包；

分别提取出每个第一次握手流量包中源IP、发包时间以及源端口号，作为一个三元组数据；

将得到的三元组数据划分为至少一个小分组，对得到的小分组进行过滤；