Zasadniczo muszę wiedzieć, czy istnieje sposób na znalezienie połączenia (lub relacji) między pakietami wysyłanymi przez moje maszyny wirtualne i mój komputer główny.
W moim laboratorium mam wiele stacji roboczych, z których każda ma VirtualBox z kartą sieciową połączoną mostem z adapterem hosta (eth0 lub wlan0). Każda maszyna wirtualna ma zniekształcony adres MAC i oczywiście inny adres IP (ustawiony statycznie lub przez DHCP).
Kiedy analizuję pakiety za pomocą tcpdump (lub wireshark), nie widzę żadnych wspólnych punktów między hostami a poszczególnymi Maszyny wirtualne. Ale może się mylę?
Czy istnieje sposób, aby znaleźć ruch generowany przez maszyny wirtualne na maszynie hosta, na przykład skanujący nmap mojej sieci laboratoryjnej?
Komentarze
- Jakie systemy operacyjne używasz na swoim hoście / gościu? Są one ważne, ponieważ istnieją różnice w możliwościach stosu sieciowego – na przykład system Windows wygrał ' t umożliwia monitorowanie interfejsów sprzężenia zwrotnego.
- Host jest w systemie Ubuntu i goście mogą być inni, mogą mieć system Windows lub Linux
- Jeśli Twoje pytanie brzmi, czy nmap może poprawnie zidentyfikować system gościa, czy próbowałeś skanować?
Odpowiedź
IMHO, głównym punktem, który może ujawnić tożsamość komputera hosta, jest sposób konfiguracji sieci między hostem a gościem.
Na przykład w ustawieniach NAT inne komputery w sieci hosta mogłyby zidentyfikować to jesteś w sieci NAT i mogą łatwo odgadnąć adres NAT dla maszyny hosta i spróbować wykonać footprint. Ale w sieci mostkowej nie będzie to możliwe, ponieważ przedstawia gościa jako innego hosta w sieci.