Как обнаружить виртуальную машину в сети ?
 

Проблема следущая: в сети у кого то стоит виртуальная машина(она имеет выход в сеть). Как можно определить на каком физическом компьютере установлена данная виртуальная машина ?
Я знаю имя виртуальной машины, IP.
P.S. MAC адресса у физической и виртуальной машины разные.

Solitude
1. Из программных способов можно использовать алгоритмы, применяемые для выявления снифферов в сети (например, по точному времени отклика).
2. Если свичи управляемые, то можно быстро определить соответствие, посылая запросы на конкретный порт свича.
3.Физический заключается в выдергивании поочередно вилок из свеча и определения, какая еще станция пропала из сети вместе с вирутуальной.

ИМХО последний способ самы реальный, т.к. наименее затратный (первые 2-а без доппрограмирования ИМХО не выполнить...).

Greyman
Спасибо!
А нельзя ли об этом по подробней ?
К сожалению у меня нет доступа к свичам...

SolitudeЭто не ко мне. Я знаю, что это возможно, по аналогии с отслеживанием снифферов. Принятые методы можно отыскать при необходимости в инете, у самого ссылок под рукой щас нет. Замечу только, что готового ПО для подобной задачи ИМХО пока нет (я не слышал), поэтому для использования соответствующих методов придется писать софт самому, для чего надо неплохо знать программирование по крайней мере на уровне сокетов...

Хм... Жаль. Тогда надо думать...
Подсети у машин одинаковые? Какие?

Хм... Возможно подойдет алгоритм с сетевым флудом...
1. Замеряются каким либо способом тайм-ауты запросов на все машины в сети. Моджно точный замер Ping'ов, но в некоторых случаях это может не стработать (например из-за установленных ПСЭ). Тогда можно замерять ARP-запросы, нетбиосовские датограммы и т.п. Главное - получить первоначальные доаольноь точные значения временных откликов на запрос.
2. Делается одна из сетевых флуд-атак на первую из машин. Вариантов тоже довольно много. При этом некоторые типы атак уже считаются стандартными и могут распознаваться и блокироваться сетевым оборудованием и ПСЭ рабочей станции. Здесь тебе надо будет определиться с ПО. Я тут не помошник, т.к. я занимаюсь больше как раз противоположным вопросом, поэтому инструментарий я предложить не могу, даже еслиб подробно был с ним знаком.
3. При действующей флуд-атаке повторно замеряются таймауты ответов на запросы по п.1
4. П.4. повторяется для всех машин в сети.
5. Сравнивая данные, полученный из. п.1-4 можно найти соответствие в машинах - это будут те машины, где рост тайм-аутов будет максимальным...

Это ИМХО, может я что-то и упустил,... но я в ланной ситуация начал бы с этого (за неименее более конкретного предложения). токо учти, что админ тоже может не дремать и подобная твоя деятельность может показаться ему странной...

Greyman
Да у нас нет подсетей - одна сеть с IP от 192.168.0.0 до 192.168.0.255. И админа тоже нет... :-)
Да, довльно сложно... Ну я попробую... Спасибо!

Если сеть виндовая - то можно поискать интерфейсы, которые переключены в promiscuous режим (на основной-то машине он так и должен быть) с помошью микрософтовской тулзы Promqry

Есть и универсальные (якобы на все системы, типа Promiscan), но слышал что определяют они ненадежно.

TbMA
А можно по подробнее... ?

На эти темы на самом деле много статей написано. Все началось со статейки l0pht-ов и их-же программы Anti-Sniff.

Все "универсальные" программы действуют по предложенным ими-же методам. А основной метод простой - если сетевая карта находится в promiscous режиме - то она обрабатывает намного больше пакетов, чем все остальные. Т.е. такой компьютер будет тормозить. Если послать ему много информации - то он будет больше тормозить.
Т.е. если пинговать несущесвующие хосты (или виртуальные машины) - то тормозить будет реальная машина.

Однако это все в идеале. Компьютер ведь может и тормозить по другим причинам? Может он что-то свое делает. Т.е. разлет в торможении будет большой, и у нас могут быть и ложные срабатывания.

Все остальные методы зависят от установленных программ и операционных систем. Т.е. например если "сниффер" делает ресолв каждого IP в имя - мы посылаем в сеть много трафика для несуществующих хостов и (своим сниффером) смотрим кто будет ресолвить их в имена. И т.д. Но он-же может их и не ресолвить.

ребята если известно имя машины и ее IP может для начала трассу к ней построить?

TbMAДля виртуальной машины включение этого режима не яляется обязательным, хотя в большинстве случаев действительно это так и есть...

Solitude
То что я описывал, я как раз привел по аналогие с антисниффингом, но в приложении к конкретному случаю с виртуальной машиной. Может правда и не достаточно гладко...

Rubikon1
А твой вопрос имеет отношение к данной теме? Если да, то поясни. Если нет, то незачем разводить оффтопик, пользуйся поиском или отдельной темой...

можно попробовать выполнить трассировку к виртуальной машине. если получится то предпоследний адрес и будет искомым

Rubikon1
Ошибаешся. Ты видно не совсем понимаешь суть работы виртуальных машин. При работе полноценной виртуальной машины ее виртуальный сетевой интерфейс не использует никаких настроек от реальной машины и шлюзы у него тоже могут быть свои, в том числе отличные от реальной. Соответственно трассировка тебе даст только маршрутизатор, через который она ведет обмен данных...

Гым... Я признаться полагал, что физическая машина как раз и выполняет функции маршрутизатора. Буду признателен если оставиш ссылочку где можно почитать про работу ВМ с сетью

Относительно темы предложение такое:

если задача у нас извращенная, значит и будем извращаться
далее все построено на 80% теории, так что будешь експериментировать

Для отлова гада нам нужно:
2 ПК помощнее, предполагается что под управлением WinNT, 1 из них настоятельно рекомендую XP

Идея следущая с одного компа организовываем спам атаку на виртуальную машину
Со второго ищем реальный адрес

Для этого на первой машине нам понадобится 2 cmd файла

vmf1.cmd
vmf2.cmd
XP нужен для того чтобы открывающиеся окна не плодились в панели задач, а просто складывались стопками

Запускаем ПК1:
1. запускаем диспетчер задач и переходим на вкладку "сеть"
(загрузка сети должна быть минимальной)

2. запускаем первый командник
ждем пока отработает пакетник и смотрим на диаграмму
при достаточном уровне запросов график активности должнен линейно вырости, а потом упасть, сменившись на "пило-подобный"

если нет - можно запустить еще несколько сот окон
также можно попробовать поекспериментировать с размером пакета

если удалось - задействуем ПК2.

ПК2:
роль второй машины сводится к тому, чтобы найти самый плохо работающий интерфейс в сети
но перед этим было неплохо посмотреть активность сети на втором ПК и убедиться, что это мы не его ловим. %))

суть отлавливания ВМ состоит в банальном пинге штатных IP сети

после того как нашли ВМ на первом ПК запускаем пакетник №2

единственная его задача - позакрывать запущенный нами пинги (это чтобы руками 150 окошек не закрывать :) )
может понадобится запустить его несколько раз

если получиться - плз отпишись

2Morock
хорошо, а если машина игнорирует эхо запросы (ICMP) тогда как?
ЗЫ второй пакетник нафиг не нужен в ХР можно группу сразу закрыть
ЗЗЫ ни кто так и не спросил: а чем эта машина провинилась?

Rubikon1
как говорил один человек: "В задаче этого не требовалось... -1 балл..."
Вот начнет игнорировать ICMP - тогда и будем копать дальше.

Если из-за немерянного количества консольных окон у тебя вдруг начнет тормозить машина и появления контекстного меню, после правого щелчка ты будешь ждать минут 15... вот тогда и вспомнишь о втором пакетнике :Р

Кстати, а действительно...
Чем сие детище прогресса провинилось?

специально опробовал первый коммандник: тестовая машина без труда осилила 300 окон (P!!! 600МГц, 128 Мб)(в районе 400 начинались отказы), меню появилось в течении секунды, если учеть что ты предлагал использовать машины помощнее то полагаю что этот вопрос можно снять с повестки дня

Интересно почитать!

А если на ВМ стоит фаервол и блокирует ICMP сообщения и т.п.??

ESSENSIS
На мой алгоритм, к-ый я описал в 4-ом посте, это никак не повлияет (по крйней мере в худшую сторону).

хм......
предположим развернута виртуальная машина VMware , на основе своих собственныйх наблюдений и документации могу сказать что мас адресс такой виртуальной машины есть



к сожалению "потерял" официальный ресурс Vmware
взято отсюда : http://www.linuxcenter.ru/lib/books/...gl_18_08.phtml

Однако это распространяется на начальную установку адреса. В то же время, MAC адрес можно задавать средствами установленной на виртуалке ОС в свойствах сетевого адаптера (большинства драйверов это позволяют), а в этом случае адрес может иметь и другой диапазон...

хм... здается мне автор темы канул в пучинах собственной сети :/

если есть физический доступ ко всем машинам - просто поочередно выдергиваем шнуры сетевых карт и пингуем :)
имея права админа в сети можно поискать процессы характерные для ВМ...

2 Greyman
здесь несколько другая ситуация :
предположим вы установили на виртуальную машину win2003 , естественно запустив её вы можете использовать все ресурсы данной операционной системы ;) действительно вы можете променять mac адрес на сетевой карте .....
но!!!!
на "родительской" машине в свойствах VMware Network Adapter так не получиться ...... ;) нет такой возможности ....
mac будет все равно "высвечиваться" 00:50:56:XX:YY:ZZ.....

к тому же если используется вариант "Bridged networking" (обычный вариант чтобы виртуальная машина могла иметь доступ сетевым ресурсам не только "родительского" компьютера) при "сканирование" сети (скажем TcpNetview ) эти виртуальные адаптеры " засветятся" ....

Не которое время назад я так и выловил одну виртуальную машину.... правдо мерил отклики по сети что-то около трех дней :dwarf: