Nat

是否可以檢測 NAT 後面的客戶端?

  • September 20, 2011

最近,加州大學爾灣分校的住宅網路部門更改了他們的安全策略,以包括以下要求:

家庭路由器的重新配置

家庭路由器需要禁用 DHCP 功能和網路地址轉換 (NAT)。

現在,我只涉足網路協議,但我認為無法判斷網路上的設備是使用 NAT 的路由器還是只是建立大量連接的客戶端,並且 DHCP 完全與作業系統無關。

所以我想知道:拋開社會問題*,執行這項政策在技術上是否可行**?(當然是根據大學住宅網路的預算)

我不知道他們是怎麼做到的,尤其是在一個必須處理更複雜的使用者的網路中,這些使用者可能會做一些事情,比如更改他們的 MAC 地址或修改他們的瀏覽器的使用者代理字元串(而且不是特別昂貴聞?)。

另一方面,就像我之前說的,我只涉足網路協議,所以也許我缺少一些明顯的東西。

  • 據推測,在此策略更改之後,他們現在可以說“好吧,你沒有遵守策略,找到被感染的電腦並修復它是你的工作”。

** 據我所知,它們實際上並非如此。理論上,它於上週生效。

這可能很困難,但並非不可能。例如,如果您從同一個 IP 看到 Macintosh 和 Windows 瀏覽器客戶端,那可能是 NAT。或者,如果您經常看到對完全不同的網頁(例如 serverfault 和 TMZ)的近乎同時的請求,這也可能是一個跡象。或者,可以對 ICMP 請求進行不同的“指紋辨識”——例如,一些實現將某些數據包填充為空,而另一些則沒有。請記住,即使他們確實發現有人在做這些事情,這仍然違反政策,所以如果他們發現你這樣做,他們仍然可以說“這是違反規則的”。您幾乎永遠無法通過技術手段完全執行政策決定,但這讓他們可以說‘看,這違反了規則。

引用自:https://serverfault.com/questions/313286