Dus eigenlijk moet ik weten of er een manier is om een verbinding (of relatie) te vinden tussen pakketten die door mijn VMs en mijn hostmachine worden verzonden.

In mijn lab heb ik veel werkstations, elk met een VirtualBox met netwerkadapter die is gebrugd naar de hostadapter (eth0 of wlan0). Elke virtuele machine heeft een misvormde MAC en natuurlijk een ander IP-adres (statisch ingesteld of via DHCP).

Wanneer ik pakketten analyseer met tcpdump (of dradenhark), zie ik geen gemeenschappelijke punten tussen hosts en bepaalde VMs. Maar misschien heb ik het mis?

Is er een manier om een hostcomputer te vinden op basis van verkeer dat wordt gegenereerd door VMs die bijvoorbeeld nmap-scanning van mijn laboratoriumnetwerk uitvoeren?

Opmerkingen

  • Welk (e) besturingssysteem (en) gebruik je op je host / gast? Deze zijn belangrijk, omdat er verschillen zijn in de netwerkstack-mogelijkheden – Windows heeft bijvoorbeeld ' niet toegestaan om loopback-interfaces te controleren.
  • Host is op Ubuntu en gasten kunnen verschillen, ze kunnen Windows of Linux draaien.
  • Als je vraag is of nmap het besturingssysteem van een gastsysteem correct kan identificeren, heb je dan geprobeerd te scannen?

Answer

IMHO, het belangrijkste punt dat de identiteit van de hostmachine kan onthullen, is de manier waarop je het netwerk configureert tussen de host en de gast.

Netwerkinstelling in VMware

In NAT-instelling zou het bijvoorbeeld mogelijk zijn voor andere machines in het netwerk van de hostmachine om dat te identificeren je bent in een NAT-netwerk en ze kunnen gemakkelijk het NAT-adres voor de hostmachine raden en footprinting proberen. Maar in een bridged netwerk is het niet mogelijk omdat het de gast presenteert als een andere host in het netwerk.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *