나는 데비안 배포판이 있는 macos에 가상 머신을 가지고 있고 Wireshark를 사용하여 virtualbox의 LAN 네트워크에서 들어오는 모든 트래픽을 캡처하고 싶습니다. 네트워크 어댑터를 다음과 같이 구성했습니다.
- "다리"
- 이름은 en0 (와이파이) 입니다
- 무차별 모드는 모든 것을 허용합니다.
가능한 모든 연결을 시도했고 Wireshark는 Kali Linux 트래픽을 캡처했지만 Macos나 로컬 네트워크(예: 전화)에서는 캡처하지 않았습니다. 무엇을 기대해야 할지 아는 사람 있나요? 다른 사람에게도 이런 일이 일어났나요?
추가 정보: VM이 게스트와 동일한 네트워크에 있지만 구성을 핑할 수 없습니다.
답변1
브리지 어댑터는 모든 트래픽을 가상 머신으로 보내지 않습니다. 가상 머신으로 향하는 트래픽을 가로채서 다시 라우팅합니다.
https://www.virtualbox.org/manual/ch06.html#network_bridged
Oracle VM VirtualBox는 호스트 시스템의 장치 드라이버를 사용하여 물리적 네트워크 어댑터의 데이터를 필터링합니다. 따라서 이 드라이버를 네트워크 필터링 드라이버라고 합니다. 이를 통해 Oracle VM VirtualBox는 물리적 네트워크에서 데이터를 가로채서 데이터를 삽입하여 소프트웨어에 새로운 네트워크 인터페이스를 효과적으로 생성할 수 있습니다. 게스트가 이 새로운 소프트웨어 인터페이스를 사용하면 마치 게스트가 네트워크 케이블을 사용하여 인터페이스에 물리적으로 연결된 것처럼 호스트 시스템에 나타납니다.
스위치는 모든 패킷을 모든 컴퓨터에 보내지 않으며, 패킷의 수신자 MAC 주소를 기반으로 수신자에게만 패킷을 보냅니다. (이 규칙은 WiFi의 경우 약간 다릅니다.)
VM의 브리지 어댑터는 비슷한 방식으로 작동합니다. VM의 브리지 장치에는 자체 MAC 주소가 있으며 라우터에는 하나의 회선에 두 개의 장치가 있는 것처럼 보입니다. 호스트 운영 체제(귀하의 경우 OS X)에서는 가상 머신이 가상 머신으로 주소가 지정된 패킷만 수신하도록 추가로 필터링됩니다.
이러한 종류의 스누핑을 위해서는 어떤 형태의 공격이 필요합니다.ARP 중독.