由于全球IPv4地址越来越少、越来越贵,因此大到一个组织,小到一个家庭一个人都很难获得公网IP地址,所以只能使用内网地址,从而和别人共享一个公网IP地址。在这种情况下,NAT技术诞生。
- 翻译
NAT(Network Address Translation:网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。简单理解成是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。 - 作用
在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP地址空间枯竭。因此NAT在一定程度上,能够有效的解决公网地址不足的问题。所有大类上可以归结为一个转换通信地址的程序。
NAT技术分类
- 静态NAT(Static NAT)
- 动态地址NAT(Pooled NAT)
- 网络地址端口转换NAPT
- DNAT(Destination NAT,DNAT)
- SNAT(Source NAT,SNAT)
NAT最常用的两种方式
- SNAT (Source Network Address Translation) 源网络地址转换
原理:修改数据包的源地址。源NAT改变第一个数据包的来源地址,它永远会在数据包发送到网络之前完成,数据包伪装就是一具SNAT的例子。
将内网发出的请求报文原地址转换成自己的地址发往远端服务器,对回来的响应报文在作做反向处理,类似网络代理。 - DNAT (Destination Network Address Translation) 目的网络地址转换
原理:修改数据包的目的地址。Destination NAT刚好与SNAT相反,它是改变第一个数据包的目的地地址,如负载、端口转发和透明代理就是属于DNAT。
将内网服务端口映射在公网出口地址上。
这里不细研究转换原理了,有兴趣的可以谷歌搜索一下,网上大佬们画的流程图还是很好理解的,我这里主要是为了应急响应,IP溯源而掌握点概念即可。
引申出的安全问题
DNAT有效的解决公网地址不足的问题,但是也带来一个严重的问题,就是追踪溯源难度变大,一旦藏在NAT后面,溯源成本会变高。
查询NAT网络设备的日志
直接证据就是查询可信的NAT网络设备的日志(例如cisco的NAT映射关系):
show ip nat translation
待续…
参考
https://tech.souyunku.com/KevinGeorge/p/8387331.html
https://blog.csdn.net/lasoup/article/details/78289735
https://blog.csdn.net/hzhsan/article/details/45038265
https://blog.51cto.com/iitnet/440719
https://zh.wikipedia.org/wiki/网络地址转换
https://zhuanlan.zhihu.com/p/47715358