[plamo:12714] Re: DHCPでIP addrが変わるhostの記述

[Shun-ichi TAHARA (田原 俊一)]

# 嘘言ってるかもしれません :-)。

From: KATOH Yasufumi <karma@murata.co.jp>
Message-Id: <200201220702.QAA04223@murata.co.jp>

> > 実際、NATを張られているかどうかを監視しようと思ったら、TCPのシーケンス
> > 番号をモニタリングして、それを元に推測するしかないはずですので。
> 
> NAT (NAPT) の仕組みの細かい所は知らないのですが，これってどういう方法
> で推測するのでしょうか?

ひとつのセッション中ではシーケンス番号が増加するはずですので、シーケン
ス番号がバラバラに乱れ飛んでいるとアヤシイ、ということになります。

仮にNAT張ってて、複数のマシンからてんでにセッションを張っていた場合に
は、シーケンス番号が豪快に増えたり減ったりするかもしれません。

が、最近は、セッションハイジャック防止のためにシーケンス番号の振り方が
結構バラバラですし、1つのマシンから複数セッションを張ってる場合と区別
が付くのかどうかはかなり謎です。

ただ、シーケンス番号の推移のしかたをよーーく見ればOSの推測が付くかもし
れない(次のシーケンスを予測するのは難しいけど、出てきたシーケンス列か
らどういうTCPの実装なのかを推測するのはかなり楽)ので、そうすれば、推測
ルールから外れたものはNATの疑いアリ、という見方もありますね。

> 例えば TCP のシーケンス番号は内部ホストが生成したものがそのまま NAT ルー
> タ外でも使われると言う事でしょうか?

NATの実装にもよるでしょうけど、そのまま使った方が、NAT内部で持っている
状態がより少なくなるので楽なんじゃないでしょうか。

# 逆にTCPのセッションまで全部横取りすれば、透過プロキシみたいなのも組
# み込みやすいかも(というかそれ自身がもう透過プロキシみたいなもので)
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
田原 俊一   jado@flowernet.gr.jp, shunichi_tahara@zenrin.co.jp
                                  http://flowernet.gr.jp/jado/
FingerPrint:  16 9E 70 3B 05 86 5D 08  B8 4C 47 3A E7 E9 8E D9
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣