由於全球IPv4地址越來越少、越來越貴,因此大到一個組織,小到一個家庭一個人都很難獲得公網IP地址,所以只能使用內網地址,從而和別人共享一個公網IP地址。在這種情況下,NAT技術誕生。
-
翻譯
NAT(Network Address Translation:網絡地址轉換)是將IP 數據包頭中的IP 地址轉換為另一個IP 地址的過程。簡單理解成是一種把內部私有網絡地址(IP地址)翻譯成合法網絡IP地址的技術。 -
作用
在實際應用中,NAT 主要用於實現私有網絡訪問公共網絡的功能。這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式,將有助於減緩可用IP地址空間枯竭。因此NAT在一定程度上,能夠有效的解決公網地址不足的問題。所有大類上可以歸結為一個轉換通信地址的程序。
NAT技術分類
- 靜態NAT(Static NAT)
- 動態地址NAT(Pooled NAT)
- 網絡地址端口轉換NAPT
- DNAT(Destination NAT,DNAT)
- SNAT(Source NAT,SNAT)
NAT最常用的兩種方式
-
SNAT (Source Network Address Translation) 源網絡地址轉換
原理:修改數據包的源地址。源NAT改變第一個數據包的來源地址,它永遠會在數據包發送到網絡之前完成,數據包偽裝就是一具SNAT的例子。
將內網發出的請求報文原地址轉換成自己的地址發往遠端服務器,對回來的響應報文在作做反向處理,類似網絡代理。 -
DNAT (Destination Network Address Translation) 目的網絡地址轉換
原理:修改數據包的目的地址。Destination NAT剛好與SNAT相反,它是改變第一個數據包的目的地地址,如負載、端口轉發和透明代理就是屬於DNAT。
將內網服務端口映射在公網出口地址上。
這里不細研究轉換原理了,有興趣的可以谷歌搜索一下,網上大佬們畫的流程圖還是很好理解的,我這里主要是為了應急響應,IP溯源而掌握點概念即可。
引申出的安全問題
DNAT有效的解決公網地址不足的問題,但是也帶來一個嚴重的問題,就是追蹤溯源難度變大,一旦藏在NAT后面,溯源成本會變高。
查詢NAT網絡設備的日志
直接證據就是查詢可信的NAT網絡設備的日志(例如cisco的NAT映射關系):
show ip nat translation
待續...
參考
https://www.cnblogs.com/KevinGeorge/p/8387331.html
https://blog.csdn.net/lasoup/article/details/78289735
https://blog.csdn.net/hzhsan/article/details/45038265
https://blog.51cto.com/iitnet/440719
https://zh.wikipedia.org/wiki/網絡地址轉換
https://zhuanlan.zhihu.com/p/47715358