引言

在ip地址日渐匮乏的今天,NAT技术由于其可以使局域网内的多台主机共享同一个公网IP地址上网的特性,组建得到了广泛应用.但在互联网安全问题日益严重,对网络数据流量进行安全监控势在必行的今天,当监控设备监控到违法,违规流量时,却无法对NAT后众多主机中的违法,违规者进行精确识别和定位.这一问题在对危害国家,社会的危险分子进行监控和跟踪时尤为突出.因此,对NAT后主机进行识别和精确定位的数据源追踪技术是保障信息安全,净化网络环境所急需解决的技术问题.为了解决上述问题,首先要有能够识别NAT用户的相关技术,以便在识别出违法,违规数据流后对NAT用户进行识别,避免与普通用户混淆;进而再利用相关技术对特定主机进行定位.我们把这两种技术合成为数据源追踪技术.本文针对在Cookie有效期内,同一个网站分配给不同用户的CookieID值不同的原理,提出了一种利用CookieID来识别NAT后主机数目的方案.NAT技术介绍

随着Internet的飞速发展,越来越多的用户加入到使用互联网的行列中.全球IP地址资源匮乏的问题也越来越突出.为此,IETF组织提出了NAT(NetworkAddressTranslation)技术,作为暂时解决IP地址耗尽的过渡手段.NAT设备完成的是网络地址转换的功能,位于NAT后的主机又有自己的私网IP地址,并利用NAT设备共享一个或几个IP上网.当主机需要与位于公网上的设备进行通信的时候,NAT将对应的私网IP地址和端口好映射为自己的公网IP地址和端口号.这样位于NAT后的主机相对其他公网设备是透明的,NAT的网络结构如图1所示.计算机a-----┐计算机b----路由设备----┬----互联网计算机c-----┘│监控方设备图1NAT网络结构图图1显示出三台主机利用私有IP地址..1.-..1.通过带有NAt功能的路由设备共享一个公网IP地址58.60.12.88上网的结构图.在该图中,监控方作为中间设备位于NAT设备和Internet之间,通过分光,镜像等技术获取NAT设备发出的数据流,从而对NAT后的主机数量进行分析.由于NAT的特性,在经过NAT的数据包中很难观察出NAT后的主机信息,对NAT后的主机数量的统计变得非常困难.因此,若想正确地统计出NAT后的主机数量,必须要获悉每台机器独有的一些特性.3现有检测技术3.1IPID技术

IPID指的是IP报文首部的标识(dientification)域,长度为16比特,用来唯一标识一个ip报文,Windows操作系统将IPID作为一个计数器,不论数据包属于哪个链接,同一主机每发出一个数据包,IPID值递增1.通过分析一个指定IP地址发出的数据包的IPID值有多少个连续的轨迹,可以确定这个地址后的主机数.但是这种算法的缺点在于:(1)只能针对操作系统是Windows的主机;(2)因为IPID轨迹的获取过分依赖于是否能够连续地获得目标IP发出的数据包.当NAT设备后的主机使用多线程下载工具,或主机之间有大量数据交互时,都会有IPID值的变化,使得IPID值从NAT外看失去规律性,从而影响IPID检测方法的准确性,导致误判或多检.(3)另外,IPID属于底层协议字段,现在很多的nat设备都会将其后不同主机的IPID值进行修改,使修改后的数值看似同一台主机连续发出的IPID值,使得IPID检测方法失效.3.2其他技术

还有一些基于行为特征的检测方案,如利用IP地址的并发端口数是否多于设定阀值的方法等,但这些基于行为特征的检测方案的准确性无法保障.尤其在P2P类应用广泛使用的今天,更使其准确性大打折扣,经常会出现误判的情况.另外,这种方案只能统计是否存在共享,而不能统计精确的数量.针对现有技术存在的各种问题,本文提出了一种基于CookieID的共享主机检测方案,该方案较好地解决了现有技术的各种缺陷,是一种非常有效的共享主机检测方法.4CookieID技术4.1原理介绍

Cookie是大部分网站为了辨别用户身份而存储在用户本地终端的数据.当用户浏览某网站时,Web服务器会发送给用户一个包含日期时间和用户ID信息的Cookie.用户的浏览器在获得页面的同时会将这个Cookie保存在用户硬盘上的某个文件夹下.当用户在此访问该网站时,会带出该Cookie,网站根据Cookie得到用户的相关信息,就可以做出相应的动作,如用户不必每次输入ID,密码就可直接登录等.在HTTP协议中,网络服务器会给初次访问该网站的用户通过HTTPOK回应包中的Set-Cookie字段分配Cookie,用户获得Cookie之后在每次发送给该网站的HTTP请求包中都会有该Cookie的信息.Cookie的格式如下:Set-Cookie:Name=Value;Expires=Date;Path=Path;Domain=Domain_NAME;Secure其中,只有Name=Value为必选项,是网站分配给用户的唯一ID值,Expires属性用以确定Cookie的有效期.在Cookie有效期内,同一网站为不同用户分配的ID值不同.当指定IP地址的数据包通过监控设备时,服务器可以对其进行分析,监听HTTP请求报文,读取其中的网站地址和相应的CookieID并记录下来,如果访问相同网站的CookieID值不只一个,就可以确定这个IP地址有多台主机共享,并且,有几个CookieID就说明有几台主机.4.2具体实现

用上面的描述可以看出,利用CookieID进行主机数目判断的实现过程其实就是捕获数据,然后对数据进行统计分析,然后上报的过程.因此本方案分为监控模块,统计模块和上报模块三部分.(1)监控模块该模块负责监控NAT设备的上行流量或者下行流量.所谓上行流量是指客户端客户端发到Internet上的数据流,下行流量是指外端网络发挥给客户端的数据流.监控设备过滤出被监控流量中的HTTP类型数据流.如果监控的是上行流量,提取出其中含有Cookie字段的数据包;如果监控的是下行流量,提取出其中含有Set-Cookie关键字段的数据包.然后,提取这些数据包的源IP地址,目的IP地址,Cookie名称及CookieID值.将这些信息提交给统计分析模块.(2)统计模块该模块主要负责统计来自监控模块的数据并保存在数据库中,因此,需要实现在数据库中建立如图2所示的存储表,用以保存Cookie的统计信息.┌────┐┌────┐┌────┬────┬────┬──────┐│SRCIP1│---→│DSTIP1│---→│CName│CValue│cNum│有效期│├────┤├────┤├────┼────┼────┼──────┤│SRCIP2││DSTIP2││││││├────┤├────┤├────┼────┼────┼──────┤│SRCIP3││DSTIP3││││││├────┤├────┤├────┼────┼────┼──────┤│││││││││└────┘└────┘└────┴────┴────┴──────┘图2存储表格式其中,SrcIP为被监控的NAT的公网IP地址,DSTIP为被访问的网站的地址,最后一栏分别存储Cookie的名称,数值,个数及生存期等信息.接收到来自缄口流量膜款的数据后,统计模块根据源IP地址和目的IP地址找到对应的CookieID记录表,然后在该记录中查找该CookieID值,如果找到,不做任何处理,如果没有找到,就添加该CookieID值的信息.总之,一定要保证所有的CookieID信息都有记录.3)上报模块上报模块每到一个上报周期，就查找同一个源IP下每一个网站的CookieID记录表，将Cookie的有效期与系统当前的时间做比较，如果CookieID已经过期，就将其删除。然后统计每一个源IP对应的所有门户网站的CookieID中CNum的最大值。如果该最大值为l，则说明该IP下面没有NAT环境，否则，该最大值即为NAT环境下的主机数目。4.3与其他检测技术比较

本方案以CookieID值为依据，对NAT环境进行识别并精确统计NAT后面的主机数量。不会发生误判或多判的情况，完全符合业界的检测标准。另外，克服了IPID检测方案准确度受内网的流量及用户使用协议的影响的弊端，消除了当NAT设备修改底层协议字段后IPID检测方案无效的重大缺陷，同时相对于行为特征检测方案，还拥有较高的检测准确率，因此，是一种非常实用的检测方案。5结束语

本文提出了一种利用HTTP协议中的CookieID进行数据源追踪的方案，通过本方案可以准确地检测出Internet上的NAT环境以及其后的主机数量，并能精确定位到NAT后的某台主机。本方案通常应用于网络监控领域，用来对违法、违规主机进行定位，以便后续其他技术的实施。整个网络监控流程包括流量识别、目标追踪、目标控制三步骤，本方案是其中目标追踪这一环，在整个网络监控技术中位于非常重要的地位，具有较大的实现意义和价值。