ネットワーク全体から悪意のあるVM=のホストを識別する方法はありますか？

攻撃者がVMを使用しているかどうかを気にする理由は述べていません。それは無関係です。それは単なる気晴らしです。だから私は質問のその部分を尋ねません。

ネットワーク上のどのマシンがホストシステムであるかを確認する方法については、この特別な状況でこれを行う能力は、VMがない場合の状況とほぼ同じです。 DHCPとARPのログがあります。 IPアドレスを識別できる場合は、イーサネットスイッチに移動して、そのIPアドレスが接続されている物理ポートを見つけます。次に、そのポートにニースを散歩させてください。手がかりを持参することを忘れないでください。

まず最初に、IDSなどを使用して、攻撃者のIPアドレスがすでに特定されていると想定します。この場合：

• 攻撃者がVMを使用していることを確認する方法はありますか？

私が考えることができる1つの方法は、IPがあれば、攻撃者のMACを見つけることです。通常、それは製造元を指します。製造元はvmwareまたは他の同様のものです。 nmapは、この種のフィンガープリントに使用できます。

• ネットワーク上のどのマシンがホストシステムであるかを判別する方法はありますか？

これは本当に興味深い質問です。私には答えがありません。答えが存在するかどうかはわかりません。適切なスイッチングインフラストラクチャがあれば、ネットワークセグメントを見つけることができると思いますが、リモートでそれ以上のことができるかどうかはわかりません。

もちろん、本当に決心している場合は、逆の方法でIPを見つけることができます。管理されたスイッチがあると想定して、MACアドレスを1つずつポートにロックしてみてください。最終的に、ホストのMACアドレスをスイッチポートにロックすると、ゲストとの通信が停止します。まともなスイッチを使用している場合は、1つ以上のMACアドレスが1つのポートに接続されているかどうかも確認できるはずです（残念ながら、利用できるリンクはありませんが、そのような機能については読んでいます）。

基本的に答えは、VMのMACアドレスを表示できるかどうかによって異なります。

攻撃者が使用しているホストのMACアドレスにアクセスできる場合（接続先のスイッチにアクセスするか、同じサブネットからスキャンすることにより）、VMが使用中は、仮想ネットワークカードに固有の特定のOUIがあるため、かなり単純である必要があります（これはもちろん、攻撃者がMACアドレスをそれほど固有でないものに変更していないことを前提としています）

それらを追跡することに関して、有線ネットワークでは、管理されたスイッチはMACアドレスがどのポートにあるかを示す機能を持っている可能性があります（間違いなくCiscoスイッチはこれを行うことができます）。ネットワークがワイヤレスの場合は、もう少し注意が必要です。クライアントが接続されているAPを特定し（ここでも、APによって情報が利用可能であると想定）、スキャナー（kismetなど）を使用して攻撃者のMACアドレスを探し、物理的に追跡します。