零、绪论:

  水一篇,很小,只是一点思路记录,在工作中经常遇到的一类小问题。NAT后面的地址如何追查下去,推动网络整改不现实,总还要有一些手段来确认。

一、背景:

  全球IPv4地址越来越少,也越来越贵,因此大到一个组织,小到一个家庭一个人都很难获得公网IP地址,所以只能使用内网地址,从而和别人共享一个公网IP地址。在这种情况下,NAT技术诞生,传统NAT将内网发其的请求报文原地址转换成自己发往远端服务器,对回来的响应报文做反向处理,看起来有点类似于一个网络层的代理。当然也有把内网服务端口映射在公网出口地址上的,称作DNAT。这类技术在方便我们使用,节约成本,网络互联互通方面做了很多贡献。但是也带来一个严重的问题,就是追踪溯源难度变大,一旦藏在NAT后面,就是一个大的黑洞。

二、追踪溯源:

  一般的溯源思路是,收到了监控告警或设备服务异常引发应急排查。首先确定攻击IP,一般Linux系统日志和WEB日志都能查到尝试攻击的IP。如果日志没有,也可以通过netstat或者抓包异常进程连接,确定对端IP(当然这个IP很可能经过多次NAT)。以上内容一般属于应急响应的范畴,主要目的是保障业务损失最小(定损止损),保留证据以便于后续进一步溯源。根据IP、域名等信息查询对端物理地址或具体攻击者、攻击组织是溯源的目标。除了使用威胁情报、DNS记录等手段做安全分析之外,对IP追踪就是一个大的问题。这里主要讲解如何查询NAT后面的真实IP。

三、技术手段:

1、直接证据类:

  这个没办法,唯一的直接证据就是可信的NAT网络设备的日志,例如cisco的NAT映射关系:

1 #show ip nat translation

图片引自互联网

  这是铁证,五元组齐全标明一条会话,源地址、源端口、目的地址、目的端口、协议。有了这个证据查询到转换的原始IP,继续追踪就可以了。

2、间接证据:

  没有如此详细的日志记录,没有直接证据怎么办。还是有一些其他办法找到一些关联证据:

  (1)例如看他还访问过其他的内部服务没有,是否有记录个人特征指纹数据的,例如同一时间段访问过QQ、邮箱、或其他带有身份验证的系统,去取下相关的身份信息。当然这需要内部其他多种安全防护和审计设备的配合与支持。这类主要针对内网或者内部人员发起的攻击比较有效,因为他的其他访问行为也可以被监控记录下来。

  (2)观察时间段和频率,虽然没有对应映射关系,但是网络设备可能记录了类似一些日志信息。根据频率时间点吻合或相似的都具有较大的嫌疑。例如通过13:43:21.137发起了6次请求,同样的虽然NAT设备没有具体记录,但是在这个时间点前后,只有一个原始IP连续在极短时间内发起六次请求,那这个原始IP就有重大嫌疑。

  (3)反向证据链:分析攻击手法,例如access-log显示user-agent或者其他一些cookie的值、或者扫描器、样本、域名特征啊等等。也可以帮助追查,缩小嫌疑人范围,反推攻击流程,再和仅有的NAT日志匹配。

【网络安全】溯源NAT之前的IP地址相关推荐

  1. CentOS虚拟机更改NAT网关及IP地址信息

    先大致说一下更改的主要步骤 一.更改VMware虚拟网卡配置 二.更改CentOS网络配置文件 三.重载配置文件,测试 目前环境: CentOS7虚拟机一台,IP地址为192.168.88.101 目 ...

  2. 网络安全学习第二篇【IP地址详解】

    一.IP详解 局域网 局域网一般被称为内网,通常由交换机,网线和PC组成.交换机是组建内网的关键设备 IP地址 IP地址(Internet Protocol Address)是指互联网协议地址,又译为 ...

  3. 使用NAT技术转化IP地址

    实验案列:使用三种NAT技术将私有ip转化为公有IP 实验环境 某公司刚刚建成,因资金雄厚,申请了多个公有IP,根据不同的部门划分不同的vlan,使用不同的IP网段转为不同的公有网段实现与外网连接, ...

  4. [墨者学院] 日志文件分析溯源(脱裤的IP地址)

    背景介绍 某公司安全工程师发现公司有黑客入侵并拖库的痕迹,你能帮忙找一下黑客拖库的IP地址吗? 实训目标 1.了解mysql日志结构: 2.了解web日志结构: 解题方向 分析web日志和mysql日 ...

  5. 以马原的视角浅谈IP地址的发展——IPv4、IPv6、NAT

    文章写的有点长,核心就是介绍IP地址的原理,以及NAT有好处也有坏处,IPv6相比较IPv4也是有好处和坏处,感兴趣的可以往最后划. 以马原的视角浅谈IP地址的发展--IPv4.IPv6.NAT IP ...

  6. 计算机网络 王道考研2021 第四章:网络层 -- lPv4地址、私有IP地址、网络地址转换 (NAT)、WAN / LAN

    文章目录 1. lPv4地址 1.1 IP地址 1.2 IP编址的历史阶段 1.3 分类的IP地址 1.4 互联网中的IP地址 1.5 特殊lP地址:不能作为主机或者路由器的具体接口标识 1.6 私有 ...

  7. NAT技术如何解决IP地址不足的问题

    IP地址是4字节的,所以一共有2的32个次方个左右,即43亿左右,而每个主机都需要一个IP地址,难道43亿主机都能接入网络吗?并不是的! 实际上,由于一些特殊的IP地址的存在,数量远不足43亿,另外I ...

  8. IP协议(IP地址的数量限制 | NAT机制)

    IP地址的数量限制 我们知道, IP地址(IPv4)是一个4字节32位的正整数. 那么一共只有 2的32次方 个IP地址, 大概是43亿左右. 而TCP/IP协议规定, 每个主机都需要有一个IP地址. ...

  9. IP地址,IPV4与IPV6

    目录 1.IP地址 2.IPV4 2.1.IPv4数据报格式 2.2.网络号和主机号 2.3.IP地址的分类 2.4.子网划分与子网掩码 2.4.1.子网划分 2.4.2子网掩码 2.5.网络地址转换 ...

最新文章

  1. 破解世界性技术难题! GTS让分布式事务简单高效
  2. 承载(Host)通用语言执行时
  3. IBASE timestamp conversion exit
  4. C++ : 内联函数和引用变量
  5. 广工 2013 c语言 试卷,广工2013-5-30、6-25概率论c试卷答案.doc
  6. 如何在Java中针对XSD验证XML
  7. java 开发必备的安全架构知识
  8. 服务器网页源代码被修改6,特洛伊木马服务器源代码(C#)
  9. 格力空调通讯协议_格力空调485通讯协议格式 485总线上modbus通信协议?
  10. 创建oracle数据库实例
  11. VTK学习笔记(十九)vtk polydata
  12. 7岁儿童智力检测题_7岁-11岁儿童智商测试题
  13. OpenCV学习Rosenfeld细化算法
  14. c语言对数组取反,C语言中按逆取反是什么意思
  15. html5 video 不拉伸,HTML 5视频拉伸
  16. 为什么算法这么难???
  17. 2017 码云最火开源项目 TOP 50
  18. 苹果地图副总裁_看完这篇文章 或许你会再给“苹果地图”一次机会
  19. 为什么你熬夜这么晚,即使你知道你不应该熬夜
  20. 传输线的物理基础(一):地、信号和均匀传输线

热门文章

  1. 关于求解微分方程——初学Matlab里的 ODE求解器
  2. 小学计算机国培研修总结,小学数学教师国培研修总结(通用5篇)
  3. QBC和QBE查询方法
  4. 大数据Python爬取B站电影排行榜——爬取信息
  5. 内核模式 vs 用户模式
  6. EJBCA证书平台-管理员及用户使用指南
  7. 以下是一段歌词,请从这段歌词中统计出“月亮”一词在歌词中出现的次数。
  8. 玩转现代家居风格 高冷却处处透着温馨
  9. 基于FPGA的数字等精度频率计
  10. Linux驱动视频教程推荐,隆重推荐:linux驱动基础开发系列免费教程独家版本