【技术实现步骤摘要】
一种识别NAT设备及确定NAT后终端数的方法
本专利技术属于网络通信安全
,尤其是涉及一种识别NAT设备与确定NAT后终端数的方法。
技术介绍
为了对接入网络的终端进行管理,安全网关设备多采用客户端接入认证,一旦客户端被认证通过,对应的终端IP便允许接入互联网,网关即开始通过IP实现对终端的网络监控。但是,目前的这种方案存在一个问题,如果到达网关的数据包IP被事先修改,网关便无法识别该数据包的准确来源,例如NAT设备可以将内网所有终端的本地IP转换为同一个对外IP,该网络内只要有一个终端通过认证,其他的终端也都可以接入网络了,容易被非法利用,带来安全隐患;特别是当大量的NAT设备接入时,更是增加了管理难度。因此,如何准确识别出网络中的NAT设备,进而采取针对性措施就成为解决上述问题的主要方式;同时,如何确定在一个公网IP地址后面有多少个终端,即通过特定的方法来计算NAT设备后面的终端数,对于网络控制也非常有必要。现有的各种NAT设备识别及终端数统计方法,普遍依赖于网络数据包中的特殊字段,其识别效果主要取决于该字...
【技术保护点】
1.一种识别NAT设备的方法,应用于包括客户端与服务器端的网络准入控制,其特征在于,包括:接收客户端发送的周期信息,判断所述周期信息的IP与客户端上报至服务器端的IP是否一致;若所述周期信息的IP与客户端上报至服务器端的IP不一致,则判断所述周期信息的IP对应NAT设备。/n
【技术特征摘要】
1.一种识别NAT设备的方法,应用于包括客户端与服务器端的网络准入控制,其特征在于,包括:接收客户端发送的周期信息,判断所述周期信息的IP与客户端上报至服务器端的IP是否一致;若所述周期信息的IP与客户端上报至服务器端的IP不一致,则判断所述周期信息的IP对应NAT设备。
2.根据权利要求1所述的识别方法,其特征在于,具体识别过程包括:所述服务器端预设终端的IP列表,每一个客户端接入网络时,将其对应的终端标识与终端IP上报至所述IP列表;客户端接入网络后周期性的向所述服务器端发送包括终端标识的数据信息,服务器端提取数据信息中的IP,并根据终端标识从所述IP列表查找对应的终端IP,判断所述周期数据信息中的IP与所述终端IP是否一致,若不一致则该周期数据信息的IP对应NAT设备。
3.根据权利要求2所述的识别方法,其特征在于,若服务器端未接收到客户端的周期信息,判断同一IP的网络数据是否具有不同操作系统的特征,若同一IP的网络数据具有不同操作系统的特征,则该IP对应NAT设备。
4.根据权利要求2所述的识别方法,其特征在于,若服务器端未接收到客户端的周期信息,判断同一IP的网络数据是否具有不同操作系统的特征,若同一IP的网络数据具有不同操作系统的特征,判断该IP为疑似NAT设备;
进一步提取该IP的网络数据TCP头中的时间...
【专利技术属性】
技术研发人员:李长江,何建锋,张旭,
申请(专利权)人:西安交大捷普网络科技有限公司,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。