网络地址转换NAT的两种模式（概念浅析）& IP溯源

由于全球IPv4地址越来越少、越来越贵，因此大到一个组织，小到一个家庭一个人都很难获得公网IP地址，所以只能使用内网地址，从而和别人共享一个公网IP地址。在这种情况下，NAT技术诞生。

• 翻译
  
  NAT（Network Address Translation：网络地址转换）是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。简单理解成是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。

• 作用
  
  在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用IP地址空间枯竭。因此NAT在一定程度上，能够有效的解决公网地址不足的问题。所有大类上可以归结为一个转换通信地址的程序。

NAT技术分类

• 静态NAT(Static NAT)
• 动态地址NAT(Pooled NAT)
• 网络地址端口转换NAPT
• DNAT（Destination NAT，DNAT）
• SNAT（Source NAT，SNAT）

NAT最常用的两种方式

• SNAT （Source Network Address Translation） 源网络地址转换
  
  原理：修改数据包的源地址。源NAT改变第一个数据包的来源地址，它永远会在数据包发送到网络之前完成，数据包伪装就是一具SNAT的例子。
  
  将内网发出的请求报文原地址转换成自己的地址发往远端服务器，对回来的响应报文在作做反向处理，类似网络代理。

• DNAT （Destination Network Address Translation） 目的网络地址转换
  
  原理：修改数据包的目的地址。Destination NAT刚好与SNAT相反，它是改变第一个数据包的目的地地址，如负载、端口转发和透明代理就是属于DNAT。
  
  将内网服务端口映射在公网出口地址上。

这里不细研究转换原理了，有兴趣的可以谷歌搜索一下，网上大佬们画的流程图还是很好理解的，我这里主要是为了应急响应，IP溯源而掌握点概念即可。

引申出的安全问题

DNAT有效的解决公网地址不足的问题，但是也带来一个严重的问题，就是追踪溯源难度变大，一旦藏在NAT后面，溯源成本会变高。

查询NAT网络设备的日志

直接证据就是查询可信的NAT网络设备的日志（例如cisco的NAT映射关系）：

show ip nat translation

待续...

参考

https://www.cnblogs.com/KevinGeorge/p/8387331.html

https://blog.csdn.net/lasoup/article/details/78289735

https://blog.csdn.net/hzhsan/article/details/45038265

https://blog.51cto.com/iitnet/440719

https://zh.wikipedia.org/wiki/网络地址转换

https://zhuanlan.zhihu.com/p/47715358