《NAT转换对ICMP(PING)_协议的处理》由会员分享,可在线阅读,更多相关《NAT转换对ICMP(PING)_协议的处理(11页珍藏版)》请在金锄头文库上搜索。
1、分析:NAT设备对数据包的影响NAT是T什么的我就不多说废话了,免得大家拿砖头拍我,现在我就拿自己前儿天做过的实 验(实验中NAT设备的地址为192.168.11.250,PC的地址为192.168.0.2)句大家展示一下数 据包在NAT前后的变化,以了解NAT的原理首先我们査看一下NAT对TCP数据也的操作卜图是一个TCP包在NAT之前的样子9 mOiQUl ir. teUmf Mwd分 fcrvltt9 Ikfei UftfilbI:了 feUlarvBlIal bM*Ue I400W00帝J JUnmd$ MU41IMltlMUIU了 rrwd4iio n Ulrn: j bMt, ht
2、trtMU.U2.1I) Uty tvaufuilftutMl9 似vrt Frlim鑿胃*1 ru1Sqiic Mwtr:2ISM分 kk ttwtiM0K dttMl*P IrwrrTrrt1 fTH n9Tt9Q10 . 1%0/Jfc VlVt P-WtAT).曲.ffc Ajf),.办.dk halX.II 1曲知MJ2JWH: H H 2A 00 Ot 2C 00 (fr M 12 U H(4 U W )7 M 00 32 M 21 !( 44 Od AO M U .丨.4. J. dtMU;坊AIMM捧娜”岭垆神M昶榦坤軾的的财麯的林MM |k丨丨1丨丨丨丨丨丨1丨丨M44 .
3、CH 的的的M|暴141屬驀hr Mali. |IH n0翊ffsa贈I rt” |,rf. |ii. Ilftfth“ 如”,|电似.I t人家可以看到这个数据包的IP标识足15862(标识足川來分辨数据包的,一台主机发的 包的标识依次递增),TTL是128 ,不分片,;!部检验码为0x0702,源地址为192.168.0.2, F1标 地址为61.152.183.141 OK这是IP头部的信息!对于TCP尖部的信息,源端门1815,门标端门80,序列号是2856985904,确认号是0EtkofFeekIn霄敵If的TCEpM Piitkel 131lilt 4il(妒们|mtw ImIi
4、 thU |,0UU0t:T lltoriBHII: ir MY* If Ihrfir Itrtw割,:争相rrlm:鼬“srT-StfivtCfl999争 yAl Uaqtk 吻 IBAAdM:*P raralku *99争场OffMt曲 fU fA UVB:9 Frwlwwl 9CbM-tomJ Smtw tF MdTM.: i Brat. AAdrMW hytJ1MMOOOO4lieu0X00“Petot rrp7t hyti /0nt re,Ol/M1M.XM.U.2Mn.Hrm.uitutZMIM40? hytAiioe0Mooaoo.“(*Jk Vrpme pci/9t vtFrl
5、9 Swnc罾 Mwtr争 ftrk VwtHir:Trt OHm煮 I- Bevevwd T TCf 91 倒99这足NAT之后的同一个数据包,人家看出变化了吗?源IP地址足不足变成 192.168.11.250 了,M时因为更改了 IP尖部的数据,是不是IP的检验码也变化了!对于TCP 来说,源端口是不是也变化了,由1815变为2121,同时TCP的检验码也变了!但是其它的选项值是不变的,如IP的标识号,前儿次看到有人的文章说IP标识号 也会被修改,很奇怪,是不是与NAT设备的厂商冇关就不得而知了以卜是UDP的前后(UDP的包我选择了 DNS报文)Etkthd n |麗胃詹蠢的 Tcr.p
6、h rub! niJ IU?, ,? Ufl p TACjMLi!啪f IF WMfcr MyiVtrAtt:4分 Hulir LMfk|rh) bytu if lUhMidldri WnlmI嫩)0嫩 f*Ul U14U:fn,9 Tint Tb Uw 9 frvlwl:9 Mr CkKkm j Shi II UdiMri I feMt. IAfaMf 1助 Bm laljyum htihfliil9 Imit hri :9 MvUmUm hrt: H$ VH ChKkiMttor-f 抓二 IlMk lliptMi huluuil9 WhMHmUhMrofcjf IW :AOlOIW W.
7、, MwU1. hwr*iI XiMPVdSt腦(9099“.0. /NjMat .0 Irfie 7*a:0什冰如 111Hr0i7UK1,UM.4.ZW4ALI.UCu*rylunddFf ju*ry对于UDP的处理,与前Ihf的TCP的报文一样,只是改变丁源地址,源端口及相应的校验码对ICMP的处理,可能大家没有想过这个问题,这个也是在网络协议分析论坛上有 前辈指出的,ICMP可不像TCP, UDP有端kJ, NAT设备是如何保证建立对;、V的NAT表呢? 以T足我用最常的两种ICMP报文的演示,其中一个足请求报文,一个足响应报文NAT之前的ICMP请求报文*9 EtbetPeebIti
8、應lllfli的TCKpit - Packet tilHU I4i1 iw C. VAmi X|疇)、二 V J d fiT 4 0*3M 4,/ Hg|.l IM JY* fr|一參一4 費r9 Kt華亀韻ICMP NAT之前的响疢报文lt ltiUk* 9矚1 丨J! r a o I乂 Kflrrriik n I$pirrrfr1 (At XiwC % . T CS # /S r A MjdSJSl螫AE-JXJ唯一主机,意思足同一台主机发出的所奋的ICMP报文,它的identifier值都是-样的,不同 主机的值不一样.在identifier下面奋一个序列号,这个足所发出的ICMP报文顺
9、序的唯一标识如你执行一个PING命令,发出四个请求包,这四个请求包每个都应冇一个回应包, 可是TCP/IP是-种非实时性的协议,不一定发出的第一个请求乜所对应的响应乜也能第一 个W来,那么如何实现一对一对应呢,就是靠这个序列号,每一个请求包和它所对应的W应 包的序列号是一样的下图是NAT后的ICMP谘求么 fit*Y一 C婦,響懂細捕vr T* *ki Jsll-l TI,IM ) BmI . 19 1c ow 1M ! II W MC.iM.fJ OF图是NAT之后的ICMP回应包u VtMfPrRl nin 屬 tfliaiATdpu FeckoV / A fl 壽,/I T A 3 Mf
10、ile c tlw C婦,tMUtw t, - . - 1 d!,I j ji !卜为!1(-1T* tt-o.oe r-eo :, -4 4oxn,:勿,7* SltoriBMtt it M 03 MO * 4 It If M.广 It 瓣* VvwIm4今flJ J-Bl f toreet Aa*e4 rvaMi从上罔可以看到,NAT对ICMP报文做丫以下改动首先在IP层改动了源IP,及相应的校验码在ICMP中,将identifier及相应的序列号都更改了,当然,更改后的identifier仍然标 识唯一一主机,序列号仍然是一对一的关系,最f ICMP的校验码也更改了!NAT对IP分片的影响这个实验我川 PING WWW.BAIDU.COM -I 3000 -t-I代表是产生多人的PING包,现在我这边是3000byte的包(注意,这次我的木机IP为 192.168.100.222 NAT 设备地址为 192
