关于网络中如何检测共享（NAT）的原理

学校对上网实行限制，使用多种网络检测软件来限制共享上网，这里我把检测共享上网的原理给大家分析一下，希望对大家破解共享上网有帮助。

网络尖兵原来采用的检测技术主要是：

1、检查从下级IP出来的IP包的IP-ID是否是连续的，如果不是连续的，则判定下级使用了nat。

2、检查从下级IP出来的IP包的ttl值是否是32、64、128这几个值，如果不是，刚判定下级使用了nat。

3、检查从下级IP出来的http请求包中是否包含有proxy的字段，如果有，则下级用了http代理。

由于检测和防检查技术的对抗升级，现在可能增加了检测的内容：

一、通过行为统计：

1. 在三秒内同一IP对两个以上的网站进行Request，将此IP视为穿透NAT进行传输。

2. 在两秒內，若同一IP对同一个网站，进行两次以上的Request，将此IP视为渗透NAT进行传输。

二、深度检测数据包内容:

1.检测并发连接数量

2.检测下级IP出来的QQ号码数量,如果同时有5个QQ号,则判定为共享.

3.更多的检测方法

三、城市热点提供的检测技术：

基于应用监控系统解决方案：
        某些公司采取的技术有轨迹检测法、时钟偏移检测法和应用特征检测法。下面就这些技术做详细的介绍。

方法之一 ID（identification）轨迹检测法：

        对来自某个源IP地址的TCP连接中，IP头中的16位标识（identification），对于某个windows用户，其identification随着用户发送的IP包的数量增加而逐步增加，如果在一段时间后，发现某个源IP地址，如图所示，有三段identification在连续变化，则说明该“黑户”此时最少有三个用户在同时使用宽带。

方法之二时钟偏移检测法：

        不同的主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系；不同的主机发送报文的频率因此与时钟存在一定统计对应关系；通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同的主机。

方法之三应用特征检测法：

        数据报文中的HTTP报头中的User－agent字段因操作系统版本、IE版本和布丁的不同而不同，如图。因此通过分析不同的HTTP报头数而确定主机数。

另外对于一台主机同一时间只能登录一个MSN帐号，据此分析可判断主机数。

Windows update 报文里也包含一些操作系统版本信息，也可以据此计算主机数。



        通过以上三种方法就能很准确地非法接入的宽带用户地主机数，无论其采用共用NAT、共用Proxy、或分时段共用帐号上网（包括ADSL和LAN上网两种模式），该非法接入监控系统，都能得到IP地址与所携带用户数的准确对应关系，借助于Radius论证报文，再将它转换为用户帐号与所携带用户数的对应关系。当然，由于本方案采用了多个指标来综合分析，为排除干扰提高准确性，并不实时提供这种对应关系，而是采用按天/周/月提供统计报表的形式，将结果提交给运营商的相关部门