NATDET – ネットワークアドレス変換

メソッドの説明

この検知メソッドは、NATを使用してIPアドレスが多くのデバイスで使用されていることを明らかにします。この検知メソッドは、異なるオペレーティングシステムの特定の振る舞いパターンを使用します。そのため、検知できるのは、異なるオペレーティングシステムを搭載した2台以上のデバイスによるNATに制限されます。

このメソッドは、以下のサブメソッドで構成されます。

• General: ネットワーク内でのNAT (ネットワークアドレス変換)の使用をレポートします。検知は、オペレーティングシステムごとに異なるネットワークマニフェステーション(デフォルトのTCP SYNパケットサイズ、TCPウィンドウサイズ、各種TTLなど)がある、あるいは、異なるユーザエージェント文字列が使用されるという事実に基づいて行われます。

メソッド設定

このメソッドは、監視対象ネットワークセグメントのIPアドレスにのみ適用することをお勧めします。トラフィックの適切な監視場所は中央のスイッチです。この検知メソッドには、Flowmon Networksの独自のIPFIXフィールドが必要です。HTTP OSおよびアプリケーション情報拡張機能のUser-AgentフィールドとL3/L4拡張フィールド拡張機能全体をアクティブ化する必要があります。これは、Flowmonプローブの[FCC] → [モニタリングポート]で行うことができます。このページには、拡張機能（[高度な設定]タブで）を見つけてアクティブにできる監視ポートが含まれています。

メソッドパラメータ

• DistinctSYNSize: 単一のIPアドレスでサイズが異なるTCP SYNパケットの最小数。

• DistinctTTL: 単一のIPアドレスでTTLセットが異なるTCP SYNパケットの最小数。

• DistinctTCPWindow: 単一のIPアドレスでTCPウィンドウセットが異なるTCP SYNパケットの最小数。

• DistinctOS: 単一のIPアドレスの、異なるオペレーティングシステム(HTTPユーザエージェントから取得)の最小数。

• MinimalProbability: 指定されたIPアドレスが多くの異なるデバイスに対応する(NATが存在する)最小確率。

• MaxHop: 各ネットワークで想定される最大ホップ数(1つのパケットが通過できるルータの最大数)。非標準のTTL値に基づくNAT検知に使用されます。

フィルタの割り当て

このフィルタは、送信元IPアドレスを制限するために使用されます。

結果の解釈

この検知メソッドは、NATを使用している多数の異なるデバイスに対応するIPアドレスに対するアラートを出します。