Проблема следущая: в сети у кого то стоит виртуальная машина(она имеет выход в сеть). Как можно определить на каком физическом компьютере установлена данная виртуальная машина ?
Я знаю имя виртуальной машины, IP.
P.S. MAC адресса у физической и виртуальной машины разные.

Solitude
1. Из программных способов можно использовать алгоритмы, применяемые для выявления снифферов в сети (например, по точному времени отклика).
2. Если свичи управляемые, то можно быстро определить соответствие, посылая запросы на конкретный порт свича.
3.Физический заключается в выдергивании поочередно вилок из свеча и определения, какая еще станция пропала из сети вместе с вирутуальной.

ИМХО последний способ самы реальный, т.к. наименее затратный (первые 2-а без доппрограмирования ИМХО не выполнить...).

Greyman
Спасибо!
1. Из программных способов можно использовать алгоритмы, применяемые для выявления снифферов в сети (например, по точному времени отклика). А нельзя ли об этом по подробней ?
2. Если свичи управляемые, то можно быстро определить соответствие, посылая запросы на конкретный порт свича. 3.Физический заключается в выдергивании поочередно вилок из свеча и определения, какая еще станция пропала из сети вместе с вирутуальной. К сожалению у меня нет доступа к свичам...

SolitudeЦитата:
1. Из программных способов можно использовать алгоритмы, применяемые для выявления снифферов в сети (например, по точному времени отклика).

А нельзя ли об этом по подробней ?Это не ко мне. Я знаю, что это возможно, по аналогии с отслеживанием снифферов. Принятые методы можно отыскать при необходимости в инете, у самого ссылок под рукой щас нет. Замечу только, что готового ПО для подобной задачи ИМХО пока нет (я не слышал), поэтому для использования соответствующих методов придется писать софт самому, для чего надо неплохо знать программирование по крайней мере на уровне сокетов...

К сожалению у меня нет доступа к свичам...
Хм... Жаль. Тогда надо думать...
Подсети у машин одинаковые? Какие?

Хм... Возможно подойдет алгоритм с сетевым флудом...
1. Замеряются каким либо способом тайм-ауты запросов на все машины в сети. Моджно точный замер Ping'ов, но в некоторых случаях это может не стработать (например из-за установленных ПСЭ). Тогда можно замерять ARP-запросы, нетбиосовские датограммы и т.п. Главное - получить первоначальные доаольноь точные значения временных откликов на запрос.
2. Делается одна из сетевых флуд-атак на первую из машин. Вариантов тоже довольно много. При этом некоторые типы атак уже считаются стандартными и могут распознаваться и блокироваться сетевым оборудованием и ПСЭ рабочей станции. Здесь тебе надо будет определиться с ПО. Я тут не помошник, т.к. я занимаюсь больше как раз противоположным вопросом, поэтому инструментарий я предложить не могу, даже еслиб подробно был с ним знаком.
3. При действующей флуд-атаке повторно замеряются таймауты ответов на запросы по п.1
4. П.4. повторяется для всех машин в сети.
5. Сравнивая данные, полученный из. п.1-4 можно найти соответствие в машинах - это будут те машины, где рост тайм-аутов будет максимальным...

Это ИМХО, может я что-то и упустил,... но я в ланной ситуация начал бы с этого (за неименее более конкретного предложения). токо учти, что админ тоже может не дремать и подобная твоя деятельность может показаться ему странной...

Greyman
Подсети у машин одинаковые? Какие? Да у нас нет подсетей - одна сеть с IP от 192.168.0.0 до 192.168.0.255. И админа тоже нет... :-)
Хм... Возможно подойдет алгоритм с сетевым флудом....... Да, довльно сложно... Ну я попробую... Спасибо!

Если сеть виндовая - то можно поискать интерфейсы, которые переключены в promiscuous режим (на основной-то машине он так и должен быть) с помошью микрософтовской тулзы Promqry (http://www.microsoft.com/downloads/info.aspx?na=47&p=3&SrcDisplayLang=en&SrcCategoryId=&SrcFamilyId=4df8eb90-83be-45aa-bb7d-1327d06fe6f5&u=details.aspx%3ffamilyid%3d1A10D27A-4AA5-4E96-9645-AA121053E083%26displaylang%3den)

Есть и универсальные (якобы на все системы, типа Promiscan (http://www.securityfriday.com/products/promiscan.html)), но слышал что определяют они ненадежно.

TbMA
А можно по подробнее... ?

На эти темы на самом деле много статей написано. Все началось со статейки l0pht-ов и их-же программы Anti-Sniff.

Все "универсальные" программы действуют по предложенным ими-же методам. А основной метод простой - если сетевая карта находится в promiscous режиме - то она обрабатывает намного больше пакетов, чем все остальные. Т.е. такой компьютер будет тормозить. Если послать ему много информации - то он будет больше тормозить.
Т.е. если пинговать несущесвующие хосты (или виртуальные машины) - то тормозить будет реальная машина.

Однако это все в идеале. Компьютер ведь может и тормозить по другим причинам? Может он что-то свое делает. Т.е. разлет в торможении будет большой, и у нас могут быть и ложные срабатывания.

Все остальные методы зависят от установленных программ и операционных систем. Т.е. например если "сниффер" делает ресолв каждого IP в имя - мы посылаем в сеть много трафика для несуществующих хостов и (своим сниффером) смотрим кто будет ресолвить их в имена. И т.д. Но он-же может их и не ресолвить.

ребята если известно имя машины и ее IP может для начала трассу к ней построить?

TbMAЕсли сеть виндовая - то можно поискать интерфейсы, которые переключены в promiscuous режим (на основной-то машине он так и должен быть)Для виртуальной машины включение этого режима не яляется обязательным, хотя в большинстве случаев действительно это так и есть...

Solitude
То что я описывал, я как раз привел по аналогие с антисниффингом, но в приложении к конкретному случаю с виртуальной машиной. Может правда и не достаточно гладко...

Rubikon1
А твой вопрос имеет отношение к данной теме? Если да, то поясни. Если нет, то незачем разводить оффтопик, пользуйся поиском или отдельной темой...

можно попробовать выполнить трассировку к виртуальной машине. если получится то предпоследний адрес и будет искомым

Rubikon1
если получится то предпоследний адрес и будет искомым
Ошибаешся. Ты видно не совсем понимаешь суть работы виртуальных машин. При работе полноценной виртуальной машины ее виртуальный сетевой интерфейс не использует никаких настроек от реальной машины и шлюзы у него тоже могут быть свои, в том числе отличные от реальной. Соответственно трассировка тебе даст только маршрутизатор, через который она ведет обмен данных...

Гым... Я признаться полагал, что физическая машина как раз и выполняет функции маршрутизатора. Буду признателен если оставиш ссылочку где можно почитать про работу ВМ с сетью

Относительно темы предложение такое:

если задача у нас извращенная, значит и будем извращаться
далее все построено на 80% теории, так что будешь експериментировать

Для отлова гада нам нужно:
2 ПК помощнее, предполагается что под управлением WinNT, 1 из них настоятельно рекомендую XP

Идея следущая с одного компа организовываем спам атаку на виртуальную машину
Со второго ищем реальный адрес

Для этого на первой машине нам понадобится 2 cmd файла

vmf1.cmd
set j=0
:run1
if %j%==%2 goto s1
start /MIN ping %1 -l 8000 -t
set /a j+=1
goto run1
:s1
set j=
vmf2.cmd
taskkill /IM ping.exe

XP нужен для того чтобы открывающиеся окна не плодились в панели задач, а просто складывались стопками

Запускаем ПК1:
1. запускаем диспетчер задач и переходим на вкладку "сеть"
(загрузка сети должна быть минимальной)

2. запускаем первый командник
vmf1 <IP_виртуальной_машины> <количество_одновременных пингов>

например:
vmf1 192.168.0.1 150

ждем пока отработает пакетник и смотрим на диаграмму
при достаточном уровне запросов график активности должнен линейно вырости, а потом упасть, сменившись на "пило-подобный"

если нет - можно запустить еще несколько сот окон
также можно попробовать поекспериментировать с размером пакета

если удалось - задействуем ПК2.

ПК2:
роль второй машины сводится к тому, чтобы найти самый плохо работающий интерфейс в сети
но перед этим было неплохо посмотреть активность сети на втором ПК и убедиться, что это мы не его ловим. %))

суть отлавливания ВМ состоит в банальном пинге штатных IP сети

после того как нашли ВМ на первом ПК запускаем пакетник №2

vmf2.cmd
единственная его задача - позакрывать запущенный нами пинги (это чтобы руками 150 окошек не закрывать :) )
может понадобится запустить его несколько раз

если получиться - плз отпишись

2Morock
хорошо, а если машина игнорирует эхо запросы (ICMP) тогда как?
ЗЫ второй пакетник нафиг не нужен в ХР можно группу сразу закрыть
ЗЗЫ ни кто так и не спросил: а чем эта машина провинилась?

Rubikon1
как говорил один человек: "В задаче этого не требовалось... -1 балл..."
Вот начнет игнорировать ICMP - тогда и будем копать дальше.

Если из-за немерянного количества консольных окон у тебя вдруг начнет тормозить машина и появления контекстного меню, после правого щелчка ты будешь ждать минут 15... вот тогда и вспомнишь о втором пакетнике :Р

Кстати, а действительно...
Чем сие детище прогресса провинилось?

после правого щелчка ты будешь ждать минут 15... специально опробовал первый коммандник: тестовая машина без труда осилила 300 окон (P!!! 600МГц, 128 Мб)(в районе 400 начинались отказы), меню появилось в течении секунды, если учеть что ты предлагал использовать машины помощнее то полагаю что этот вопрос можно снять с повестки дня

Я признаться полагал, что физическая машина как раз и выполняет функции маршрутизатора. Буду признателен если оставиш ссылочку где можно почитать про работу ВМ с сетьюИнтересно почитать!

А если на ВМ стоит фаервол и блокирует ICMP сообщения и т.п.??

ESSENSIS
На мой алгоритм, к-ый я описал в 4-ом посте, это никак не повлияет (по крйней мере в худшую сторону).