Direct naar inhoud

Carrier-Grade NAT (CGNAT)

Carrier-grade NAT (CGNAT) is een grootschalige netwerkadresvertalingsarchitectuur die door ISP's en mobiele providers wordt ingezet om een beperkte pool van publieke IPv4-adressen tegelijkertijd te delen tussen duizenden abonnees, met directe gevolgen voor de nauwkeurigheid van IP-gebaseerde stemontdubbeling in online wedstrijden.

Definitie

Carrier-grade NAT — ook wel large-scale NAT (LSN) of NAT444 genoemd — is een IP-adres-deelarchitectuur gedefinieerd in IETF RFC 6598 (gepubliceerd in april 2012), waarmee een internetprovider of mobiele operator grote aantallen abonnees kan bedienen met een veel kleinere pool van publieke IPv4-adressen dan vereist zou zijn als elke abonnee een eigen toegewezen adres zou krijgen. De term “carrier-grade” onderscheidt dit inzetschaal van de huishoudelijke NAT die door een thuisrouter wordt uitgevoerd: CGNAT werkt op carrier-infrastructuur en kan verkeer voor tienduizenden gelijktijdige abonnees vertalen via één publiek IP-adres.

CGNAT ontstond als reactie op de uitputting van de IPv4-adresruimte. De Internet Assigned Numbers Authority (IANA) wees in februari 2011 de laatste blokken IPv4-adressen toe aan Regional Internet Registries. Mobiele operators, met snel groeiende abonneebases, stonden voor de keuze: IPv6 inzetten — wat het probleem van adresuitputting permanent oplost — of CGNAT implementeren om de operationele levensduur van de IPv4-infrastructuur te verlengen. De meeste operators zetten beide in.

Hoe CGNAT werkt

In een CGNAT-implementatie ontvangt het apparaat van een abonnee een privé-IP-adres uit de RFC 6598 gedeelde adresruimte — het 100.64.0.0/10 blok dat specifiek is gereserveerd voor CGNAT-gebruik — of uit een conventioneel RFC 1918 privébereik (10.0.0.0/8, 172.16.0.0/12 of 192.168.0.0/16). Dit is het adres van de abonnee binnen het interne netwerk van de operator.

Wanneer de abonnee een uitgaande internetverbinding initieert, gaat het verkeer door de CGNAT-apparatuur van de operator — typisch grote routerplatformen van leveranciers als Cisco, Juniper en A10 Networks. Het CGNAT-apparaat vertaalt het privé-bronadres naar een van de publieke IPv4-adressen van de operator en wijst een dynamische bronpoort toe om de verbinding van deze abonnee te onderscheiden van andere gelijktijdige verbindingen die hetzelfde publieke IP delen. Deze techniek heet poortadresvertaling (PAT) of network address port translation (NAPT).

De bestemmingsserver — een wedstrijdwebsite bijvoorbeeld — ontvangt een pakket met een bron-IP dat aan de operator toebehoort en een door het CGNAT-apparaat toegewezen bronpoort. De server kan vanuit deze informatie alleen het privéadres of de identiteit van de abonnee niet bepalen. Alle abonnees die hetzelfde CGNAT-uitgangs-IP delen, zijn vanuit het perspectief van de bestemming op IP-laag niet te onderscheiden.

Wanneer de sessie eindigt, recupereert het CGNAT-apparaat de poorttoewijzing en kan dezelfde combinatie van publiek IP en poort binnen enkele minuten aan een andere abonnee worden toegewezen. Dit hergebruik van adressen betekent dat twee totaal verschillende abonnees op verschillende momenten binnen dezelfde dag — of zelfs binnen hetzelfde uur — vanaf hetzelfde IP-adres lijken te komen.

RFC 6264 documenteert de gevolgen van grootschalige IPv4-naar-IPv6 transitiebenaderingen, waarvan CGNAT een component is. De Internet Engineering Task Force (IETF) heeft meerdere richtlijnen gepubliceerd over operationele overwegingen voor CGNAT bij serviceproviders.

Waar je het tegenkomt

CGNAT is wereldwijd alomtegenwoordig in mobiele carriernetwerken. T-Mobile, AT&T, Vodafone, Orange, Jio en vrijwel alle grote operators gebruiken CGNAT voor IPv4-abonneeverkeer. Vaste-lijn ISP’s in regio’s met ernstige IPv4-schaarste — waaronder delen van Azië-Pacific en sub-Sahara Afrika — zetten CGNAT ook in op breedbandverbindingen.

In online wedstrijdomgevingen creëert CGNAT een fundamentele spanning met IP-gebaseerde stemontdubbeling. Een naïef “één-stem-per-IP” beleid op een wedstrijd waar de meeste deelname van mobiele apparaten komt, voorkomt ten onrechte dat meerdere legitieme kiezers die toevallig een CGNAT-uitgangsadres delen, hun stem kunnen uitbrengen. Omgekeerd kan een kwaadwillende op een CGNAT-netwerk theoretisch stemmen indienen vanaf veel privé-IP-adressen die allemaal als hetzelfde publieke IP verschijnen — terwijl het wedstrijdplatform ze niet kan onderscheiden van één enkele kiezer.

Praktische voorbeelden

Een liefdadigheidsstemwedstrijd gericht op publiek in India — waar Jio Platforms honderden miljoenen abonnees bedient — observeert dat bepaalde IP-adressen elk op duizenden steminzendingen verschijnen tijdens het wedstrijdvenster. Technisch onderzoek onthult dat dit CGNAT-uitgangsadressen zijn voor het 4G-netwerk van Jio. Het fraude-analyseteam van het platform stelt vast dat cookie- en sessiegegevens onderscheiden browsersinstanties achter elke inzending tonen, consistent met echte deelname van meerdere abonnees. Het IP-clustering-signaal dat normaal op fraude zou wijzen, wordt correct toegeschreven aan CGNAT in plaats van aan stemmanipulatie.

Een wedstrijdplatform in het Verenigd Koninkrijk ontvangt een misbruikklacht van een deelnemer die beweert dat het platform legitieme stemmen van zijn supporters blokkeert. Onderzoek onthult dat de supporters zich allemaal op het CGNAT-netwerk van dezelfde mobiele operator bevinden, en dat de rate-limiter van het platform een per-IP-stemcap toepast die alle abonnees die het uitgangs-IP van de operator delen, treft. Het platform past zijn logica aan om cookie-gebaseerde ontdubbeling als primaire controle te gebruiken voor sessies waarbij IP-geolocatie wijst op een mobiel carrier-netwerk.

Een universitair onderzoeksteam dat online stemfraude bestudeert, gebruikt RFC 6598 adresbereiken als classifier in zijn dataset-labelingsproces, en scheidt CGNAT-oorsprong stemmen van werkelijk unieke-IP stemmen voordat het zijn anomaliedetectiemodel traint. De scheiding verbetert de modelnauwkeurigheid door te voorkomen dat het CGNAT-clusteringspatroon ten onrechte als frauduleus gedrag wordt gelabeld in de trainingsdata.

Verwante begrippen

Mobiel carrier-IP beschrijft de abonneegerichte kenmerken van mobiele netwerk-IP-adressen, waarvan CGNAT het onderliggende mechanisme is. Residentieel IP omvat zowel vaste-lijn als mobiele adressen in tegenstelling tot datacenter-IP’s, maar CGNAT is een onderscheidend kenmerk van de mobiele subset. Rate limiting is de wedstrijdcontrole die het meest direct door CGNAT wordt beïnvloed: per-IP-tariefbeperkingen moeten rekening houden met gedeelde-adresomgevingen om te voorkomen dat legitieme kiezers ten onrechte worden geblokkeerd.

Beperkingen / kanttekeningen

De wijdverbreide implementatie van CGNAT betekent dat IP-adressen alleen een onbetrouwbare basis zijn voor stemontdubbeling in elke wedstrijd die zich richt op een aanzienlijk mobiel publiek. IPv6-adoptie lost dit probleem gedeeltelijk op — IPv6 wijst doorgaans een uniek globaal adres toe aan elk apparaat — maar IPv4 CGNAT zal een belangrijke factor blijven in wedstrijdverkeer zolang IPv4 het dominante protocol blijft voor consumenteninternet. Platformontwerpers moeten IP behandelen als één van meerdere ontdubbelingssignalen, in plaats van als definitieve kiezeridentifier.

Van blog — gidsen & casestudies

Praktische gidsen, technische deep-dives en geanonimiseerde casestudies.60+ artikelen. Selectie roteert.

Alles 60 artikelen → Bladeren op onderwerp
Victor Williams — founder of Buyvotescontest.com
Victor Williams
Online · meestal antwoord in 5 min

Hoi 👋 — stuur de URL van je wedstrijd en ik geef binnen een uur een prijs. Geen kaart nodig.

💬 Open live chat ✈️ Chat op Telegram 📋 Bestelling plaatsen of e-mail naar [email protected]