Zum Hauptinhalt springen

Carrier-Grade NAT (CGNAT)

Carrier-Grade NAT (CGNAT) ist eine großflächige Network-Address-Translation-Architektur, die von ISPs und Mobilfunkbetreibern eingesetzt wird, um einen begrenzten Pool öffentlicher IPv4-Adressen gleichzeitig auf tausende Teilnehmer aufzuteilen — mit unmittelbarer Auswirkung auf die Genauigkeit der IP-basierten Stimm-Deduplizierung in Online-Wettbewerben.

Definition

Carrier-Grade NAT — auch Large-Scale NAT (LSN) oder NAT444 genannt — ist eine in IETF RFC 6598 (veröffentlicht im April 2012) definierte IP-Adress-Sharing-Architektur, die es einem Internetdienstanbieter oder Mobilfunkbetreiber ermöglicht, eine große Zahl von Teilnehmern mit einem deutlich kleineren Pool öffentlicher IPv4-Adressen zu bedienen, als nötig wäre, wenn jeder Teilnehmer eine eigene dedizierte Adresse erhielte. Der Begriff „Carrier-Grade” unterscheidet diese Bereitstellungsskala vom haushaltsbezogenen NAT eines Heimrouters: CGNAT läuft auf Provider-Infrastruktur und kann den Datenverkehr zehntausender gleichzeitiger Teilnehmer über eine einzige öffentliche IP-Adresse übersetzen[1].

CGNAT entstand als Reaktion auf die Erschöpfung des IPv4-Adressraums. Die Internet Assigned Numbers Authority (IANA) wies im Februar 2011 die letzten IPv4-Adressblöcke an die Regional Internet Registries zu. Mobilfunkbetreiber, deren Teilnehmerzahlen rasch expandierten, standen vor der Wahl, IPv6 einzuführen — was das Adressknappheitsproblem dauerhaft löst — oder CGNAT zu implementieren, um die Betriebsdauer der IPv4-Infrastruktur zu verlängern. Die meisten Carrier setzten beide Strategien um.

Funktionsweise

In einem CGNAT-Deployment erhält das Endgerät eines Teilnehmers eine private IP-Adresse aus dem RFC-6598-Shared-Address-Space — dem speziell für CGNAT reservierten Block 100.64.0.0/10 — oder aus einem konventionellen privaten RFC-1918-Bereich (10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16). Das ist die Adresse des Teilnehmers innerhalb des internen Carrier-Netzwerks.

Wenn der Teilnehmer eine ausgehende Internetverbindung initiiert, durchläuft der Datenverkehr die CGNAT-Geräte des Carriers — typischerweise große Routerplattformen von Anbietern wie Cisco, Juniper und A10 Networks. Das CGNAT-Gerät übersetzt die private Quelladresse in eine der öffentlichen IPv4-Adressen des Carriers und weist einen dynamischen Quellport zu, um die Verbindung dieses Teilnehmers von anderen gleichzeitigen Verbindungen zu unterscheiden, die dieselbe öffentliche IP teilen. Diese Technik heißt Port Address Translation (PAT) oder Network Address Port Translation (NAPT).

Der Zielserver — etwa eine Wettbewerbswebsite — empfängt ein Paket mit einer Quell-IP, die zum Carrier gehört, und einem vom CGNAT-Gerät zugewiesenen Quellport. Er hat aus dieser Information allein keine Möglichkeit, die private Adresse oder die Identität des Teilnehmers zu bestimmen. Alle Teilnehmer, die dieselbe CGNAT-Exit-IP teilen, sind aus Sicht des Ziels auf IP-Ebene nicht voneinander unterscheidbar.

Wenn die Sitzung endet, gibt das CGNAT-Gerät die Portzuweisung frei und kann dieselbe Kombination aus öffentlicher IP und Port innerhalb von Minuten einem anderen Teilnehmer zuweisen. Diese Adresswiederverwendung bedeutet, dass zwei völlig verschiedene Teilnehmer zu unterschiedlichen Zeiten desselben Tages — oder sogar derselben Stunde — von derselben IP-Adresse zu kommen scheinen können.

RFC 6264 dokumentiert die Implikationen großflächiger IPv4-zu-IPv6-Übergangsansätze, von denen CGNAT eine Komponente ist. Die Internet Engineering Task Force (IETF) hat mehrere Leitfäden zu betrieblichen Erwägungen rund um CGNAT für Service Provider veröffentlicht[2].

Wo Sie ihm begegnen

CGNAT ist in Mobilfunknetzen weltweit allgegenwärtig. Deutsche Telekom, Vodafone Deutschland, Telefónica/o2, Drei Austria, Swisscom, T-Mobile, AT&T, Orange, Jio und praktisch alle großen Carrier setzen CGNAT für IPv4-Teilnehmerverkehr ein. Festnetz-ISPs in Regionen mit ausgeprägter IPv4-Knappheit — darunter Teile des asiatisch-pazifischen Raums und Afrika südlich der Sahara — setzen CGNAT auch auf Breitbandverbindungen ein.

In Online-Wettbewerbsumgebungen erzeugt CGNAT eine grundlegende Spannung mit der IP-basierten Stimm-Deduplizierung. Eine naive Eine-Stimme-pro-IP-Richtlinie bei einem Wettbewerb, dessen Teilnahme überwiegend von Mobilgeräten kommt, würde mehrere legitime Wähler, die zufällig dieselbe CGNAT-Exit-Adresse teilen, fälschlich daran hindern, Stimmen abzugeben. Umgekehrt könnte ein böswilliger Akteur in einem CGNAT-Netzwerk theoretisch Stimmen aus vielen privaten IP-Adressen einreichen, die alle als dieselbe öffentliche IP erscheinen, ohne dass die Wettbewerbsplattform sie von einem einzelnen Wähler unterscheiden könnte.

Praktische Beispiele

Ein Wohltätigkeits-Stimmwettbewerb, der sich an Zielgruppen in Indien richtet — wo Jio Platforms hunderte Millionen Teilnehmer bedient —, beobachtet, dass bestimmte IP-Adressen während des Wettbewerbszeitraums jeweils auf tausenden von Stimmabgaben erscheinen. Die technische Untersuchung zeigt, dass es sich um CGNAT-Exit-Adressen für Jios 4G-Netzwerk handelt. Das Anti-Betrugs-Team der Plattform stellt fest, dass Cookie- und Session-Daten unterschiedliche Browser-Instanzen hinter jeder Abgabe zeigen, was mit echter Teilnahme mehrerer Teilnehmer übereinstimmt. Das IP-Cluster-Signal, das normalerweise auf Betrug hinweisen würde, wird korrekt CGNAT statt Stimmenmanipulation zugeordnet.

Eine Wettbewerbsplattform im Vereinigten Königreich erhält eine Beschwerde von einem Teilnehmer, der angibt, die Plattform blockiere legitime Stimmen seiner Unterstützer. Die Untersuchung zeigt, dass alle Unterstützer im selben CGNAT-Netzwerk eines Mobilfunkbetreibers sind und der Rate Limiter der Plattform eine Pro-IP-Stimmobergrenze angewendet hat, die alle Teilnehmer betrifft, die die Exit-IP des Carriers teilen. Die Plattform passt ihre Logik an und verwendet Cookie-basierte Deduplizierung als primären Kontrollmechanismus für Sitzungen, bei denen die IP-Geolokalisierung auf ein Mobilfunknetz hinweist.

Ein universitäres Forschungsteam, das Online-Wahlbetrug untersucht, verwendet RFC-6598-Adressbereiche als Klassifikator im Labeling-Prozess seines Datensatzes und trennt CGNAT-Stimmen von echten Stimmen mit eindeutiger IP, bevor das Anomalie-Erkennungsmodell trainiert wird. Die Trennung verbessert die Modellgenauigkeit, indem verhindert wird, dass das CGNAT-Cluster-Muster fälschlich als betrügerisches Verhalten in den Trainingsdaten gelabelt wird.

Verwandte Konzepte

Mobilfunk-IP beschreibt die teilnehmerseitigen Eigenschaften von IP-Adressen aus Mobilfunknetzen, deren zugrunde liegender Adress-Sharing-Mechanismus CGNAT ist. Residential IP umfasst sowohl Festnetz- als auch Mobilfunkadressen im Gegensatz zu Datacenter-IPs, doch CGNAT ist ein unterscheidendes Merkmal des Mobilfunk-Subsets. Rate Limiting ist die durch CGNAT am unmittelbarsten betroffene Wettbewerbskontrolle: Pro-IP-Rate-Limits müssen Shared-Address-Umgebungen berücksichtigen, um nicht versehentlich legitime Wähler zu blockieren.

Einschränkungen / Hinweise

Die weite Verbreitung von CGNAT bedeutet, dass IP-Adressen allein eine unzuverlässige Grundlage für Stimm-Deduplizierung bei jedem Wettbewerb mit signifikantem Mobilpublikum darstellen. Die IPv6-Einführung löst dieses Problem teilweise — IPv6 weist typischerweise jedem Gerät eine eigene globale Adresse zu —, doch IPv4-CGNAT wird weiterhin ein bedeutender Faktor im Wettbewerbsverkehr bleiben, solange IPv4 das dominierende Protokoll für den Verbraucher-Internetzugang ist. Plattform-Designer sollten IP als eines von mehreren Deduplizierungssignalen behandeln und nicht als definitiven Wähler-Identifikator[3].

Quellen

  1. IETF RFC 6598: https://datatracker.ietf.org/doc/html/rfc6598
  2. Wikipedia — Carrier-grade NAT: https://en.wikipedia.org/wiki/Carrier-grade_NAT
  3. IETF RFC 6264: https://datatracker.ietf.org/doc/html/rfc6264

Aus dem Blog — Guides & Fallstudien

Praktische Guides, technische Tieftauchgänge und anonymisierte Fallstudien.60+ Artikel. Auswahl rotiert.

Alle 60 Artikel → Nach Thema durchsuchen
Victor Williams — founder of Buyvotescontest.com
Victor Williams
Online · Antwort in 5 Min

Hi 👋 — schick die Wettbewerbs-URL und ich melde mich binnen einer Stunde mit Preis. Karte noch nicht nötig.

💬 Live-Chat öffnen ✈️ Chat in Telegram 📋 Bestellen oder E-Mail an [email protected]