PCDVD數位科技討論區

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)
-   系統組件 (https://www.pcdvd.com.tw/forumdisplay.php?f=19)
-   -   ESXi Guest跑sniffer.... (https://www.pcdvd.com.tw/showthread.php?t=1062560)

cmwang 2014-10-31 08:11 AM
ESXi Guest跑sniffer....
 
鵝前幾天在user的Guest上跑sniffer,原本只是要觀察自己的traffic的,卻意外發現如果開了promiscous mode,sniffer竟然可以看到同個Virtual Switch上別人的Unicast traffic(i.e. source/destination都不是該Guest,而且也不是broadcast/multicast的traffic:flash: ),照說Virtual Switch既然字面上叫Switch,應該就不會有此類特異功能,而且Virtual Switch既然是virtual出來的,原理上應該是靠Hypervisor判斷須要往哪個Guest forward,才往那個Guest forward,不太可能像Hub一樣統統有獎,那為啥會看到別人的traffic呢,不知有沒有朋友遇過類似的狀況啊:confused::confused:....

tvirus 2014-11-01 10:29 AM
引用:
作者cmwang
鵝前幾天在user的Guest上跑sniffer,原本只是要觀察自己的traffic的,卻意外發現如果開了promiscous mode,sniffer竟然可以看到同個Virtual Switch上別人的Unicast traffic(i.e. source/destination都不是該Guest,而且也不是broadcast/multicast的traffic:flash: ),照說Virtual Switch既然字面上叫Switch,應該就不會有此類特異功能,而且Virtual Switch既然是virtual出來的,原理上應該是靠Hypervisor判斷須要往哪個Guest forward,才往那個Guest forward,不太可能像Hub一樣統統有獎,那為啥會看到別人的traffic呢,不知有沒有朋友遇過類似的狀況啊:confused::confused:....


http://kb.vmware.com/selfservice/mi...ernalId=1002934

can see all network traffic traversing the virtual switch.

原來有這個好用的功能啊... :Q

anderson1127 2014-11-01 10:40 AM
喔? 看來Virtual Switch 並沒有implement 相關的Layer 2 protocol 的樣子...
這倒是好消息 , 看起來可以在Host上跑sniffer 之類的monitor軟體,在VM上跑skype
來記錄skype的行為模式以及packet pattern !!

感謝鵝大告知!! :ase

cmwang 2014-11-01 02:03 PM
引用:
作者tvirus
Can see all network traffic traversing the virtual switch.

原來有這個好用的功能啊... :Q


不好意思,鵝沒說清楚,Host是user的,鵝只有Guest的權限,並沒有Hypervisor的權限,此處說的promiscous mode是指Guest跑sniffer時開promiscous mode(i.e. tcpdump或wireshark的default值:flash: ),並不是對vSwitch開promiscous mode(vSwitch default應該是reject吧:confused: ),就是這樣才會讓鵝驚訝啊:eek::eek:....

cmwang 2014-11-01 02:31 PM
引用:
作者tvirus
Can see all network traffic traversing the virtual switch.

原來有這個好用的功能啊... :Q


VMware的knowledge base是這麼寫的....

引用:
By default, a guest operating system's virtual network adapter only receives frames that are meant for it. Placing the guest's network adapter in promiscuous mode causes it to receive all frames passed on the virtual switch that are allowed under the VLAN policy for the associated portgroup. This can be useful for intrusion detection monitoring or if a sniffer needs to analyze all traffic on the network segment.


一般認知中,實體switch只會把traffic往須要的port forward,除非開了mirror port,另一端的NIC就算開了promiscous mode也看不到別人的unicast traffic,但照VMware的knowledge base所言,似乎只要Guest的NIC進入promiscous mode,那vSwitch就會把所有traffic forward過去(類似mirror port),這似乎不太合理(除非能關掉,或是default的行為模式應該相反:ase),因為Host的管理者未必會知道Guest上跑的AP在幹啥,如果按照目前看到的行為模式,那vSwitch應該改叫vHub才比較符合一般的認知吧:ase:ase....

futureli 2014-11-02 12:12 AM
引用:
作者cmwang
VMware的knowledge base是這麼寫的....



一般認知中,實體switch只會把traffic往須要的port forward,除非開了mirror port,另一端的NIC就算開了promiscous mode也看不到別人的unicast traffic,但照VMware的knowledge base所言,似乎只要Guest的NIC進入promiscous mode,那vSwitch就會把所有traffic forward過去(類似mirror port),這似乎不太合理(除非能關掉,或是default的行為模式應該相反:ase),因為Host的管理者未必會知道Guest上跑的AP在幹啥,如果按照目前看到的行為模式,那vSwitch應該改叫vHub才比較符合一般的認知吧:ase:ase....


不,它的意思是,當你沒打開 promiscous mode 時,vSwitch 只傳你平台要的資料。當你打開 promiscous mode,它知道有人想要全部的封包資料,所以會把全部的資料傳給打開 promiscous mode的平台,至於其它沒打開promiscous mode的平台,應該還是看不到所有封包。所以...他還是和hub有很大的不同的!!!
說穿了,他就是個軟體switch而以,行為本來就和所有的switch和hub都不一樣,誰要什麼資料,它就丟什麼資料! 因為他知道誰有打開promiscous mode誰沒有,這點是switch和hub都做不到的。


所有的時間均為GMT +8。 現在的時間是02:22 PM.

vBulletin Version 3.0.1
powered_by_vbulletin 2025。