由于全球IPv4地址越來越少、越來越貴,因此大到一個組織,小到一個家庭一個人都很難獲得公網IP地址,所以只能使用內網地址,從而和別人共享一個公網IP地址,在這種情況下,NAT技術誕生,
-
翻譯
NAT(Network Address Translation:網路地址轉換)是將IP 資料包頭中的IP 地址轉換為另一個IP 地址的程序,簡單理解成是一種把內部私有網路地址(IP地址)翻譯成合法網路IP地址的技術, -
作用
在實際應用中,NAT 主要用于實作私有網路訪問公共網路的功能,這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式,將有助于級訓可用IP地址空間枯竭,因此NAT在一定程度上,能夠有效的解決公網地址不足的問題,所有大類上可以歸結為一個轉換通信地址的程式,
NAT技術分類
- 靜態NAT(Static NAT)
- 動態地址NAT(Pooled NAT)
- 網路地址埠轉換NAPT
- DNAT(Destination NAT,DNAT)
- SNAT(Source NAT,SNAT)
NAT最常用的兩種方式
-
SNAT (Source Network Address Translation) 源網路地址轉換
原理:修改資料包的源地址,源NAT改變第一個資料包的來源地址,它永遠會在資料包發送到網路之前完成,資料包偽裝就是一具SNAT的例子,
將內網發出的請求報文原地址轉換成自己的地址發往遠端服務器,對回來的回應報文在作做反向處理,類似網路代理, -
DNAT (Destination Network Address Translation) 目的網路地址轉換
原理:修改資料包的目的地址,Destination NAT剛好與SNAT相反,它是改變第一個資料包的目的地地址,如負載、埠轉發和透明代理就是屬于DNAT,
將內網服務埠映射在公網出口地址上,
這里不細研究轉換原理了,有興趣的可以谷歌搜索一下,網上大佬們畫的流程圖還是很好理解的,我這里主要是為了應急回應,IP溯源而掌握點概念即可,
引申出的安全問題
DNAT有效的解決公網地址不足的問題,但是也帶來一個嚴重的問題,就是追蹤溯源難度變大,一旦藏在NAT后面,溯源成本會變高,
查詢NAT網路設備的日志
直接證據就是查詢可信的NAT網路設備的日志(例如cisco的NAT映射關系):
show ip nat translation
待續...
參考
https://www.cnblogs.com/KevinGeorge/p/8387331.html
https://blog.csdn.net/lasoup/article/details/78289735
https://blog.csdn.net/hzhsan/article/details/45038265
https://blog.51cto.com/iitnet/440719
https://zh.wikipedia.org/wiki/網路地址轉換
https://zhuanlan.zhihu.com/p/47715358
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/27503.html
標籤:其他