Takže v podstatě potřebuji vědět, existuje nějaký způsob, jak najít spojení (nebo vztah) mezi pakety odeslanými mými virtuálními počítači a mým hostitelským počítačem.
V mé laboratoři mám spoustu pracovních stanic, z nichž každá provozuje VirtualBox se síťovým adaptérem přemostěným na hostitelský adaptér (eth0 nebo wlan0). Každý virtuální stroj má chybně formátovaný MAC a samozřejmě jinou IP adresu (nastavenou staticky nebo prostřednictvím DHCP).
Když analyzuji balíčky pomocí tcpdump (nebo wireshark), nevidím žádné společné body mezi hostiteli a konkrétními Virtuální počítače. Ale možná se mýlím?
Existuje způsob, jak najít provoz na stroji založený na provozu generovaném virtuálními počítači, který dělá například skenování nmap mé laboratorní sítě?
Komentáře
- Jaké operační systémy používáte na svém hostiteli / hostovi? To je důležité, protože existují rozdíly v možnostech síťového zásobníku – například Windows vám ' neumožní monitorovat rozhraní zpětné smyčky.
- Hostitel je v Ubuntu a hosté se mohou lišit, mohou používat Windows nebo nějaký Linux
- Pokud máte otázku, zda nmap dokáže správně identifikovat OS hostujícího systému, vyzkoušeli jste skenování?
Odpověď
IMHO, hlavním bodem, který může odhalit identitu hostitelského počítače, je způsob konfigurace sítě mezi hostitelem a hostem.
Například v nastavení NAT by bylo možné, aby to ostatní počítače v síti hostitelského počítače identifikovaly jste v síti NAT a mohou snadno uhodnout adresu NAT hostitelského počítače a zkusit stopu. Ale v přemostěné síti to nebude možné, protože představuje hosta jako jiného hostitele v síti.