Hey all    
 
Je suis actuellement face à un petit souci : j'aimerais pouvoir détecter si une interface / IP donnée appartient à une machine virtuelle, dont la NIC est bridgée sur une interface physique existante.
 
 

 
En gros : comment savoir si la machine 10.0.0.7 avec laquelle on dialogue est bien une interface virtuelle qui se cache en fait derrière l'interface 10.0.0.2 physique ?
 
 
 

tu récup sur un switch manageable la liste des mac/port
 
Les adresses macs virtualpc/vmware/hyper-v ont des ranges particulier (tu peux identifier le vendor des cartes réseaux avec ça) et après tu as plus qu'à trouver quelle port non virtuel est sur le même port que tes vm.
 
Pour faire l'association mac/ip tu passes par arp

Et si pas de switch manageable une capture avec wireshark pourrait permettre d'obtenir la MAC et après un coup de ARP ?

tu récupères pas le port donc difficile de savoir quelle host gère la vm

Exact

 
Le coup de se baser sur l'adresse Mac pour détecter les NIC virtuel on l'oublie (les MAC adresses sont changeables dans les params de n'importe quelle v-m, ce que je fais d'ailleurs souvent).
 
L'idée d'utiliser un switch manageable est intéressante, mais c'est plutôt limité (si présence de plusieurs switchs sur le même segment, la traçabilité se complique d'autant ...).
 
Quelque part, dans les trames destinées aux v-m, l'adresse MAC de la machine hôte doit être spécifiée, sinon comment celle-ci arriverait-elle jusqu'à la v-m dont l'interface est bridgée sur celle de la machine hôte ?    
 

je vois pas pourquoi
 
si tu mets un switch (virtuel) derrière un switch, le switch sait sur tel port il y a plusieurs adresses mac (l'ensemble des pc derrière le switch [virtuel]) et donc balance sur le port.
 
 
Ptetre toi tu changes les adresses macs de tes VM mais je pense pas que se soit généralisé et c'est la seule méthode à ce niveau pour identifier la marque/modèle.
 
Après peut être vmware a un proto type cdp pour annoncer les switch virtuels mais j'en doute

CDP est embarqué mais faut avoir pris l'option nexus 1000V...
Si la MAC a été modifiée le seul moyen c'est de faire un script ou un requete SNMP sur la table CAM pour identifier les ports physiques derriere lesquels plusieurs MAC sont annoncées.
En effet toutes les réponses aux requetes ARP des VM vont passer par un ou deux ports physiques si la haute dispo est mise en oeuvre.
Si la MAC avec laquelle tu causes se trouve sur un meme port phy que pleins d'autres c'est a coup sur une VM
Je vois pas d'autres moyens. Nonobstant les cas particuliers des hub/switch non manageable, mais zero chance de voir un serveur derriere ce genre de bouse.
Sinon la MAC de ton hote n'apparait pas dans les trames lorsque tu t'adresses a ta VM. Fait un sniff si tu as besoin d'une confirmation. Sinon tapes dans le fofo officiel Vmware, tres bien foutu et tres complet. Ce genre de sujet a été maintes fois abordé.