作者 主題: 開放guest os 對外,會使host os處於危險環境嗎  (閱讀 3269 次)

0 會員 與 1 訪客 正在閱讀本文。

tnts

  • 憂鬱的高中生
  • ***
  • 文章數: 170
    • 檢視個人資料
各位好
          小弟有個疑問..由PIX去限制某些IP是否能對外
          而host os 本身是不允許對外的..
          我把guest os 設為Bridge模式.然後該IP是可以對外的
          但是實際上來說..guest os的網路封包仍然是透過host os 的網卡在轉送的不是嗎
          那這樣會使host os處於不安全的環境下嗎??
          也就是說..當guest os被攻擊時..會影響到host os 嗎?
                                                                               謝謝
           

slime

  • 區域板主
  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
          我把guest os 設為Bridge模式.然後該IP是可以對外的
          但是實際上來說..guest os的網路封包仍然是透過host os 的網卡在轉送的不是嗎
          那這樣會使host os處於不安全的環境下嗎??

以網路的標準來看, 最底層是認網卡的 MAC Address 來傳送,
一般的網路卡只要發現封包的 MAC Address 不同, 就會把封包丟棄.

而虛擬環境下, 用 Bridge 模式架設的網路,
Host OS 用的是原本網卡的 MAC Address (簡稱為 MAC_H)
由於要轉送 Guest OS 用的 MAC Address (簡稱為 MAC_G)
所以網卡會進入雜湊模式, 將 MAC_H 與 MAC_G 的封包都收下, 丟棄其他封包.

"一般情況下", Host OS 並不會刻意去解開 MAC_G 的封包,
如果有對 Guest OS 的攻擊, 由於包在 MAC_G 的封包內,
所以 Host OS 並不會解開封包, 也就不會"直接"對 Host OS 有攻擊效果.

但是仍有兩種可能的攻擊:
1. 由於 Guest OS 被試著攻擊, 造成整台設備的負載過高, 而引起 Host OS 當機或無法處理正常工作. (DoS)
2. 由於 Guest OS 被攻擊, 由 Guest OS 向 Host OS 展開的攻擊.
冷笑話: 我的 IP 是 127.0.0.1

tnts

  • 憂鬱的高中生
  • ***
  • 文章數: 170
    • 檢視個人資料
了解了..謝謝slime  :)

yousee

  • 訪客
slime 說的沒錯
虛擬化 其實 就是要將 GUEST 看成真的電腦
那 真的電腦 會發生怎樣的危險
GUEST 也會發生
這就是 slime 說的:
2. 由於 Guest OS 被攻擊, 由 Guest OS 向 Host OS 展開的攻擊.
而特殊的是如下的狀況發生:
1. 由於 Guest OS 被試著攻擊, 造成整台設備的負載過高, 而引起 Host OS 當機或無法處理正常工作. (DoS)
這在一般的vm 上 是個隱憂
但在專業的vm 早已排除了

還有虛擬架構上的網路
也是跟實際一樣
所以該裝的防毒防駭還是要裝
無法省!