Zum Inhalt springen

VMWare erkennen

ITwork

Von ITwork
in Netzwerke

 Teilen

Empfohlene Beiträge

ITwork

ITwork

Geschrieben
Geschrieben

Hi,

wir haben da möglicherweise ein Problem mit einem Rechner auf dem VMWare läuft. Dieser Rechner verursacht ziemlichen Traffic. Das Problem:

Bis jetzt konnte dieser Rechner nicht identifiziert werden da VMWare ja eine eigene IP + Mac-Adresse hat. Gibt es irgendeine Möglichkeit zu erkennen auf welchen "richtigen" Rechner VMWare läuft (IP+Mac-Adresse der VM sind bekannt)?

MfG

Link zu diesem Kommentar
Auf anderen Seiten teilen
ITwork

ITwork

Geschrieben
  • Autor
Geschrieben
Wenn du die IP hast kannst du mit nslookup den NetBios Namen des virtuellen Rechners rausbekommen.. Würde dir das weiterhelfen?

Nein leider nicht, hab den Rechnernamen, IP und Mac-Adresse. Aber da eine VMWare das ja völlig frei vergibt bringt mich das leider nicht zum "richtigen" Rechner.

tracert bringt auch nichts...

Unsere Switche sind leider auch 0815 Dinger, damit kann man auch nichts identifizieren/überprüfen.

MfG

Link zu diesem Kommentar
Auf anderen Seiten teilen
ITwork

ITwork

Geschrieben
  • Autor
Geschrieben
den rechner vom netz trennen und warten, dass sich einer beschwert kannst du auch nicht, oder? :D

Ich weiss ja nicht welcher Rechner das ist, daher kann ich hier nur jeweils ein komplettes Switch vom Netz nehmen und gucken ob die IP noch erreichbar ist, naja und natürlich 1 Kabel nach dem anderen ziehen und jeweils checken... :D

Aber bis jetzt haben wir davor noch leichte Skrupel weil dann einige andere von der Arbeit abgehalten werden. ;)

MfG

Link zu diesem Kommentar
Auf anderen Seiten teilen
ITwork

ITwork

Geschrieben
  • Autor
Geschrieben
Mc-S: Eure Firma weiss nicht, auf welchem Rechner was läuft und welche Einstellungen bei der VMWare gemacht wurden ? Das ist aber traurig :rolleyes:

tracert hilft auch nicht ? Zur Not kann man ja Stecker an dem jeweiligen Switch ziehen.

Nein, ist eine Softwarefirma wo jeder Admin-Rechte hat wegen entwickeln usw... diverse VMWare´s laufen zum testen. Da gibt es nicht wirklich eine totale überwachungsmöglichkeit.

Man muss schon alle Switche oder alle Rechner durchgehen um da was zu finden, aber mal schauen....

Wenn noch jemand ne Idee hat dann nur her damit!

MfG

Link zu diesem Kommentar
Auf anderen Seiten teilen
ITwork

ITwork

Geschrieben
  • Autor
Geschrieben
Mhh vergibt VMWare auch neue Macaddressen ? Weil wenn nicht bekommst du es ja eventuell darüber raus. (Ja ich bin mir bewusst das man die nach belieben ändern kann aber es wäre schon ein dreistes Stück in einem Unternehmen).

Ja, VMWare vergibt von sich aus schon neue Mac-Adressen so das man daran nichts erkennen kann.

MfG

Link zu diesem Kommentar
Auf anderen Seiten teilen
geloescht_JesterDay

geloescht_JesterDay

Geschrieben
Geschrieben
den rechner vom netz trennen und warten, dass sich einer beschwert kannst du auch nicht, oder? :D

Ich denke Zimt meint damit die IP + MAC des VM-Rechners. Also diesen einen Rechner der so viel Traffic verursacht sperren und warten bis/ob sich wer beschwert.

EDIT:

Ups, hat sich ja schon erledigt ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen
IT-Shrek

IT-Shrek

Geschrieben
Geschrieben

Hallo,

finde das ganze sehr merkwürdig, dass es keine herstellerseitigen Befehle gibt um sowas rauszufinden, wenn jemand was in der Richtung findet möge er es doch bitte noch verlauten.

Shrek

PS: Irgendwie musste ich sofort an folgendes denken:

<erno> hm. I've lost a machine.. literally _lost_. it responds to ping, it works completely, I just can't figure out where in my apartment it is.
Link zu diesem Kommentar
Auf anderen Seiten teilen
geloescht_JesterDay

geloescht_JesterDay

Geschrieben
Geschrieben

finde das ganze sehr merkwürdig, dass es keine herstellerseitigen Befehle gibt um sowas rauszufinden...

Wieso ist das merkwürdig? Eine VM im Bridged Modus ist ein ganz normaler, eigenständiger REchner, nur dass er eben auf einem anderen Rechner läuft. Als solch ein eigenständiger Rechner hat er eine eigene Netzwerkkarte mit eigener MAC-Adresse etc. Alles was du von einem "normalen" Rechner übers Netz rausbekommen kannst ist auch nur die Adresse (IP und MAC) und ggf. den Rechnernamen. Beim VM-Rechner ist das analog.

VMWare geht ja nicht hin und ändert die IP-Packete ab.

Hätte da jetzt ein Mitarbeiter irgendwo ein Notebook ans Netz gehängt das massig Traffic verursacht wäre die Suche auch nicht leichter gewesen.

Oder wie würdest du einen fremden Rechner in deinem Netz zielsicher orten?

EDIT:

Erschwerend kam ja hier noch dazu, dass es sich um einen unsichtbaren Rechner handelt, da die VM ja auf einem anderen Rechner läuft, der da ganz normal steht und stehen soll/darf.

Link zu diesem Kommentar
Auf anderen Seiten teilen
IT-Shrek

IT-Shrek

Geschrieben
Geschrieben

Hallo,

das ist mir soweit klar, es ist nur aus meiner Sicht nicht die Optimallösung.

Man installiert ja z.B. bei VM Ware Workstation eine clientkomponente, die VMWare Tools. Da wäre es doch möglich/ratsam dementsprechende Komfortwerkzeuge einzubauen.

Naja in der Richtung wird sich sicher noch einiges tun, der derzeite Konkurrenzkampf auf dem Markt der Virtualisierung und BluePill und co machen da ja Mut.

Mir geht es hier bewusst darum, dass es sich hier eben NICHT um eine physische Maschine handelt.

Shrek

Link zu diesem Kommentar
Auf anderen Seiten teilen
geloescht_JesterDay

geloescht_JesterDay

Geschrieben
Geschrieben
hi @ all..was läuften da fürn OS auf der vmware kiste....du wirst ja wohl in der lage sein die ip rauszubekommen dann kannste alles weitere ja wohl mit tools rausbekommen zb ethereal.......

Guten morgen:

So, Problem gelöst.

Quelle

Und auch ethereal (etc.) kann keine (unbekannte) IP-Adresse einem bestimmten Raum zuordnern.

Und wie willst du das anstellen? TCP/IP erweitern? Die VM alle paar Sekunden einen Erkennungsbroadcast herumschicken lassen?

Eben weil es eine Konkurrenzkampf in diesem Bereich gibt wird sowas bestimmt nicht kommen. Es geht ja darum, mit Hilfe von VM physikalische Rechner zu ersetzen. Und welcher Hersteller würde sein Produkt dann schlechter hinstellen, als einen physikalischen Rechner?

Die VMWare Tools sind außerdem vorallem dazu da, optimierte Grafik-/Maus-/Netzwerktreiber zu installieren. Und ob eine Verschlechterung des Netzbetriebs als Komfortleistung durchgeht sei mal dahingestellt.

Nur weil in eben diesem einen Fall mal sowas passiert ist, heißt das noch lange nicht, dass so ein "Feature" gewünscht ist.

Denn wie gesagt, mit einem physikalischen Rechner der nicht bekannt ist gäbe es dasselbe Problem. Oder hast du dafür eine Lösung (die Antwort hast du ja (bewußt?) ausgelassen ;) )?

Link zu diesem Kommentar
Auf anderen Seiten teilen
IT-Shrek

IT-Shrek

Geschrieben
Geschrieben
Und wie willst du das anstellen? TCP/IP erweitern? Die VM alle paar Sekunden einen Erkennungsbroadcast herumschicken lassen?

Ich will es überhaupt nicht und habe auch nicht behauptet es zu können.

Es waren konzeptionelle Gedanken, keine Anleitung zur Umsetzung.

Eben weil es eine Konkurrenzkampf in diesem Bereich gibt wird sowas bestimmt nicht kommen. Es geht ja darum, mit Hilfe von VM physikalische Rechner zu ersetzen. Und welcher Hersteller würde sein Produkt dann schlechter hinstellen, als einen physikalischen Rechner?

Es geht hier nicht um schlechter, sondern darum die zusätzlichen Möglichkeiten auszunutzen, die eine VM bietet, also um besser.

Ich selbst z.B. setzte VMs ein, um Screenshots und Videos zu erstellen, wo man ansonsten kein Capture ansetzen kann, hier bietet mir die VM einen Mehrwehrt.

Die VMWare Tools sind außerdem vorallem dazu da, optimierte Grafik-/Maus-/Netzwerktreiber zu installieren. Und ob eine Verschlechterung des Netzbetriebs als Komfortleistung durchgeht sei mal dahingestellt.

Korrekt, dafür sind sie da, trotzdem ist es eine Clientkomponente, die NUR auf der VM vorkommt, wodurch die Grenze schonmal überschritten ist und eine Identifizierung einer VM möglich ist.

Eine Verschlechterung des Netzbetriebes wurde von dir hier angenommen, ist aber keinesfalls zwingend, vielleicht noch nichtmal nötig.

Nur weil in eben diesem einen Fall mal sowas passiert ist, heißt das noch lange nicht, dass so ein "Feature" gewünscht ist.

Niemand zwingt dich etwas zu benutzen, es geht hier um Möglichkeiten, nicht um Zwänge.

Denn wie gesagt, mit einem physikalischen Rechner der nicht bekannt ist gäbe es dasselbe Problem. Oder hast du dafür eine Lösung (die Antwort hast du ja (bewußt?) ausgelassen ;) )?

Denn wie gesagt, es geht mir bewusst um den Unterschied zur physikalischen Maschine. Eine Diskussion wie man Roque Clients erkennt ist an dieser Stelle nicht in meinem Interesse.

Shrek

Link zu diesem Kommentar
Auf anderen Seiten teilen
ITwork

ITwork

Geschrieben
  • Autor
Geschrieben
nee so hab ich das net gemeint ich meinte das man falls dieser vmware eine netzwerkkarte zugeordnet worden ist...

man ja wohl bei jedem möglichen betriebssystem die ip adresse herausbekommen kann und dann mit ethereal nachschauen kann woher der viele traffic kommt...

Ich hatte glaube ich schon geschrieben das ich die IP sowie Mac-Adresse der VM habe.

Ich habe auch alle IPs sowie Mac-Adressen der "richtigen" Rechner und kann diese jeweils zuordnen.

Und ich weiß das die Traffic-Verursachende Maschine eine VM war.

Was genau willst du dann jetzt machen? Ich habe keinen Weg gefunden zu identifizieren, auf welchem Rechner diese bestimmte VM läuft. Die VM benutzt die Netzwerkkarte des "richtigen" Rechners mit ohne das dies festgestellt werden kann (bzw. ich habe keinen Weg gefunden ;) )

Mit Managed Switchen hätte man da vielleicht gucken können auf welcher Leitung die VM sowie der "richtige Rechner" liegen, sonst sehe ich wie gesagt keine Möglichkeit. Die IP-Pakete zu überprüfen bringt auch nichts weil in den IP-Paketen die an die VM geschickt werden keine Infos zum "richtigen" Rechner stehen.

MfG

Link zu diesem Kommentar
Auf anderen Seiten teilen
ITwork

ITwork

Geschrieben
  • Autor
Geschrieben

Hi,

@sisko

Naja, hier läuft aber nicht nur eine VM, und dummerweise haben hier so einige VMs den gleichen Namen. Daher wollte ich ja nicht rumgehen und jeden Rechner checken...

Ist auch übrigens die VM-Workstation Variante gewesen.

@Mayflower

Per Sniffer bringt mir auch nichts weil hier zig Rechner mit VMs laufen.

Aber hab es ja mittels Trick17 (ein paar Post weiter oben) letzendlich doch rausgefunden. ;)

MfG

Link zu diesem Kommentar
Auf anderen Seiten teilen
geloescht_JesterDay

geloescht_JesterDay

Geschrieben
Geschrieben
Denn wie gesagt, es geht mir bewusst um den Unterschied zur physikalischen Maschine. Eine Diskussion wie man Roque Clients erkennt ist an dieser Stelle nicht in meinem Interesse.

...bei einer Software, die dafür gemacht wird eigentlich keinen Unterschied zu einem physikalischen Rechner zu haben.

Bei der Diskussion geht es ja darum, über die IP- oder MAC-Adresse oder die gesendetetn Packete eine VM identifizieren zu können. Da du also erstmal nur Dinge hast, die einen gewissen Standard haben, musst du diese Info also irgendwie (egal ob über die VMWare Tools o.ä.) in diesem Standard unterbringen. Und das aber dann auch so, dass die VM keinen Nachteil gegenüber einen physikalischen Rechner hat.

Ja, es könnte natürlich irgendwie eingebaut werden, über die VMWare Tools, dass von einer VMWare irgendwelche DNS-Broadcasts o.ä. gesendet werden, die nicht geroutet werden. Und das dann natürlich optional. Aber was bringt es? MC-S hätte es nix gebracht, weil das ja normalerweise nicht eingeschalten ist und somit nur von Leuten die genau wissen was sie tun und damit erreichen wollen eingeschalten wird.

Dem Hersteller würde das auch nichts bringen, denn welchen Mehrwert hätte man davon? Dass du wildgewordene VMs identifizieren kannst? Wo man doch im Normalfall davon ausgehen kann, dass derjenige der einen Rechner (bzw. eine VM) aufsetzt weiß was er tut und es somit keine extra Möglichkeit geben muss, eine VM zu identifizieren.

Den Vergleich zu einem phys. Client hab ich nicht einfach so gewählt. In einem Firmennetz dass unter der Kontrolle eines (oder mehrere) Admins steht geht man eigentlich ja nicht davon aus, dass man einen unbekannten Rechner im Netz hat. Falls doch (aus welchen Gründen auch immer) dürfte einem auch bekannt sein, dass man im Zweifel einen Rechner eben nicht 100% identifizieren kann (mit der notwendigen Netzhardware u.U. schon, weil jedes Packet muss ja einen bestimmten Weg zurücklegen).

Wenn ich jetzt irgendwelche VMs zulasse (was ja u.U. notwendig ist, und was bei uns auch der Fall ist) ist das kein Unterschied zu den phys. Clients die gerade beschrieben wurden.

Wenn du genau weißt, dass du den Netzwerkverkehr deiner VM überwachen willst (und damit deine Extrafunktion aktivierst), dann hast du die VM unter deiner Kontrolle. Und damit kennst du eh die IP- und die MAC-Adresse. Wenn das aber bekannt ist, gibt es eh schon genug Tools um das zu tun.

Diese Funktion in eine VM einzubauen macht also absolut keinen Sinn. Zumal das hier ein sowas von spezielles Beispiel war, dass man daraus ja nun nicht gerade eine allgermeine Anforderung ableiten kann.

Selbst wenn es eine solche Forderung auf eine ToDo-Liste eines VM-Herstellers schaffen würde bekäme sie, IMHO, wohl eine so niedrige Priorität, dass du in den nächsten Jahren nicht ansatzweise damit rechnen könntest diese Forderung im vorderen Drittel der Liste zu sehen.

Link zu diesem Kommentar
Auf anderen Seiten teilen
geloescht_JesterDay

geloescht_JesterDay

Geschrieben
Geschrieben

Shrek, immernoch kein Interesse

Hallo? Du hast hier Forderungen aufgestellt, es muss doch die Möglichkeit geben bla bla bla. Ich hab dazu gesagt, dass es sowas gar nicht geben kann (und auch meine Gründe dazu dargelegt). Von dir kam außer der Forderung ansich nie etwas, wie sowas aussehen könnte.

Vielen Dank für das aufschlußreiche Gespräch. :schlaf:

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...