ESXi Guest跑sniffer.... - PCDVD數位科技討論區

cmwang

Elite Member

加入日期: May 2002

您的住址: 板橋

文章: 5,106

ESXi Guest跑sniffer....

鵝前幾天在user的Guest上跑sniffer,原本只是要觀察自己的traffic的,卻意外發現如果開了promiscous mode,sniffer竟然可以看到同個Virtual Switch上別人的Unicast traffic(i.e. source/destination都不是該Guest,而且也不是broadcast/multicast的traffic

),照說Virtual Switch既然字面上叫Switch,應該就不會有此類特異功能,而且Virtual Switch既然是virtual出來的,原理上應該是靠Hypervisor判斷須要往哪個Guest forward,才往那個Guest forward,不太可能像Hub一樣統統有獎,那為啥會看到別人的traffic呢,不知有沒有朋友遇過類似的狀況啊

....

__________________
士大夫之無恥,是謂國恥

....

2014-10-31, 08:11 AM #1

tvirus

Golden Member

加入日期: Jan 2003

您的住址: 惡運深淵

文章: 2,562

引用:

作者cmwang

....

http://kb.vmware.com/selfservice/mi...ernalId=1002934

can see all network traffic traversing the virtual switch.

原來有這個好用的功能啊... :Q

2014-11-01, 10:29 AM #2

anderson1127

Elite Member

加入日期: Jan 2002

文章: 4,027

喔? 看來Virtual Switch 並沒有implement 相關的Layer 2 protocol 的樣子...
這倒是好消息 , 看起來可以在Host上跑sniffer 之類的monitor軟體,在VM上跑skype
來記錄skype的行為模式以及packet pattern !!

感謝鵝大告知!!

__________________
您想買新硬碟嗎? 購買前請務必參考這篇文章,是我的實際經驗

還想讓統一賺你的錢嗎？統一集團成員(能見度高的)：
星巴克、家樂福、7-11、無印良品、黑貓宅急便、聖娜多堡、阪急百貨、
康是美、博客來、夢時代、Mister Donut 、Cold Stone 、龜甲萬、
維力33%股權、光泉31%股權、Smile速邁樂、紅心辣椒、台北轉運站(統一企業BOT)

統一LP33膠囊有環保署早已列管的一級管制品: DNOP塑化劑

2014-11-01, 10:40 AM #3

cmwang

Elite Member

加入日期: May 2002

您的住址: 板橋

文章: 5,106

引用:

作者tvirus

Can see all network traffic traversing the virtual switch.

原來有這個好用的功能啊... :Q

不好意思,鵝沒說清楚,Host是user的,鵝只有Guest的權限,並沒有Hypervisor的權限,此處說的promiscous mode是指Guest跑sniffer時開promiscous mode(i.e. tcpdump或wireshark的default值

),並不是對vSwitch開promiscous mode(vSwitch default應該是reject吧

),就是這樣才會讓鵝驚訝啊

....

2014-11-01, 02:03 PM #4

cmwang

Elite Member

加入日期: May 2002

您的住址: 板橋

文章: 5,106

引用:

作者tvirus

Can see all network traffic traversing the virtual switch.

原來有這個好用的功能啊... :Q

VMware的knowledge base是這麼寫的....

引用:

By default, a guest operating system's virtual network adapter only receives frames that are meant for it. Placing the guest's network adapter in promiscuous mode causes it to receive all frames passed on the virtual switch that are allowed under the VLAN policy for the associated portgroup. This can be useful for intrusion detection monitoring or if a sniffer needs to analyze all traffic on the network segment.

一般認知中,實體switch只會把traffic往須要的port forward,除非開了mirror port,另一端的NIC就算開了promiscous mode也看不到別人的unicast traffic,但照VMware的knowledge base所言,似乎只要Guest的NIC進入promiscous mode,那vSwitch就會把所有traffic forward過去(類似mirror port),這似乎不太合理(除非能關掉,或是default的行為模式應該相反

),因為Host的管理者未必會知道Guest上跑的AP在幹啥,如果按照目前看到的行為模式,那vSwitch應該改叫vHub才比較符合一般的認知吧

....

2014-11-01, 02:31 PM #5

futureli

Basic Member

加入日期: Feb 2006

文章: 20

引用:

作者cmwang

VMware的knowledge base是這麼寫的....

一般認知中,實體switch只會把traffic往須要的port forward,除非開了mirror port,另一端的NIC就算開了promiscous mode也看不到別人的unicast traffic,但照VMware的knowledge base所言,似乎只要Guest的NIC進入promiscous mode,那vSwitch就會把所有traffic forward過去(類似mirror port),這似乎不太合理(除非能關掉,或是default的行為模式應該相反

),因為Host的管理者未必會知道Guest上跑的AP在幹啥,如果按照目前看到的行為模式,那vSwitch應該改叫vHub才比較符合一般的認知吧

....

不，它的意思是，當你沒打開 promiscous mode 時，vSwitch 只傳你平台要的資料。當你打開 promiscous mode，它知道有人想要全部的封包資料，所以會把全部的資料傳給打開 promiscous mode的平台，至於其它沒打開promiscous mode的平台，應該還是看不到所有封包。所以...他還是和hub有很大的不同的!!!
說穿了，他就是個軟體switch而以，行為本來就和所有的switch和hub都不一樣，誰要什麼資料，它就丟什麼資料! 因為他知道誰有打開promiscous mode誰沒有，這點是switch和hub都做不到的。

2014-11-02, 12:12 AM #6

« 上一主題 | 下一主題 »

POPIN

主題工具
顯示可列印版本傳送本頁給好友

發表文章規則
您不可以發起新主題您不可以回應主題您不可以上傳附加檔案您不可以編輯您的文章 vB 代碼打開表情圖示打開 [IMG]代碼打開 HTML代碼關閉

所有的時間均為GMT +8。現在的時間是08:59 AM.