网络地址转换遍历

对手可能通过修改网络设备的网络地址转换 (NAT) 配置来跨越网络边界。对 NAT 的恶意修改可能使对手能够绕过对流量路由的限制，从而将受信任和不受信任的网络分开。 在将数据包从一个网络传递到另一个网络的过程中，路由器和防火墙等网络设备可能会实施 NAT。在执行 NAT 时，网络设备将重写 IP 地址头的源地址和/或目标地址。一些网络设计需要 NAT 才能使数据包跨越边界设备。这种情况的一个典型例子是内部网络使用不可路由的互联网地址的环境。(引用: RFC1918) 当对手控制了网络边界设备时，他们可以利用现有的 NAT 配置在两个分离的网络之间发送流量，或者他们可以实施自己设计的 NAT 配置。在需要 NAT 才能正常工作的网络设计中，这使对手能够克服固有的路由限制，这些限制通常会阻止他们访问边界设备后面的受保护系统。在不需要 NAT 的网络设计中，地址转换可以被对手用来掩盖他们的活动，因为更改跨越网络边界设备的数据包的地址可以使防御者更难监控数据传输。 对手可能会使用补丁系统映像来更改网络设备的操作系统，实施他们自己的自定义 NAT 机制以进一步掩盖他们的活动。