Quindi, fondamentalmente, ho bisogno di sapere che esiste un modo per trovare una connessione (o relazione) tra i pacchetti inviati dalle mie VM e dalla mia macchina host.
Nel mio laboratorio ho molte workstation, ognuna delle quali esegue un VirtualBox con adattatore di rete collegato alladattatore host (eth0 o wlan0). Ogni macchina virtuale ha un MAC malformato e ovviamente un indirizzo IP diverso (impostato staticamente o tramite DHCP).
Quando analizzo pacchetti con tcpdump (o wirehark) non riesco a vedere alcun punto in comune tra host e particolari VM. Ma forse mi sbaglio?
Esiste un modo per trovare una macchina host basata su un traffico generato da VM che eseguono ad esempio la scansione nmap della rete del mio laboratorio?
Commenti
- Quali sistemi operativi utilizzi sul tuo host / guest? Questi sono importanti, poiché esistono differenze nelle capacità dello stack di rete: ad esempio, Windows ' non ti consente di monitorare le interfacce di loopback.
- Lhost è su Ubuntu e gli ospiti possono essere diversi, possono eseguire Windows o alcuni Linux
- Se la tua domanda è se nmap può identificare correttamente il sistema operativo di un sistema ospite, hai provato a eseguire la scansione?
Risposta
IMHO, il punto principale che può esporre lidentità della macchina host è il modo in cui configuri la rete tra host e guest.
Ad esempio, nellimpostazione NAT, sarebbe possibile che altre macchine nella rete della macchina host lo identifichino sei in una rete NAT e possono facilmente indovinare lindirizzo NAT per la macchina host e provare a eseguire il footprint, ma in una rete a ponte, non sarà possibile in quanto presenta guest come un altro host nella rete.