CN103236963A - VMWare虚拟机远程检测方法 - Google Patents
VMWare虚拟机远程检测方法 Download PDFInfo
- Publication number
- CN103236963A CN103236963A CN2013101483885A CN201310148388A CN103236963A CN 103236963 A CN103236963 A CN 103236963A CN 2013101483885 A CN2013101483885 A CN 2013101483885A CN 201310148388 A CN201310148388 A CN 201310148388A CN 103236963 A CN103236963 A CN 103236963A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- address
- mac address
- vmware virtual
- vmware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种VMWare虚拟机远程检测方法,用于解决现有VMWare虚拟机存在安全漏洞的技术问题。技术方案是首先检测主机已知目标主机的IP地址,获取目标主机MAC地址,并将MAC地址发送给检测主机;再检测主机接收到目标主机的MAC地址后,提取MAC地址中的生产厂商标识符,检查是否与“00:05:69”、“00:1C:14”、“00:0C:29”和“00:50:56”中的任何一个相匹配;然后遍历局域网中所有的目标主机,检测出所有开启的VMWare虚拟机,将所有VMWare虚拟机的IP地址、MAC地址等信息存储在数据库中,供VMWare虚拟机查询与管理以及VMWare虚拟机安全漏洞检测。由于本发明根据MAC地址中的生产厂商标识符来检测VMWare虚拟机,不仅为VMWare虚拟机安全漏洞检测提供了基础,还实现了对VMWare虚拟机的管理。经验证,本发明方法检测准确率达到100%。
Description
技术领域
本发明涉及一种虚拟机远程检测方法,特别涉及一种VMWare虚拟机远程检测方法。
背景技术
云计算(Cloud Computing)是当今IT界的热门技术,借助云计算,网络服务提供者可以在瞬息之间,处理数以千万计甚至亿计的信息,实现和超级计算机同样强大的效能。同时,用户可以按需弹性地使用这些资源和服务,从而实现将计算作为一种公用设施来提供的梦想。
云计算系统通常采用虚拟机软件来构建,也是云计算系统中的核心技术。目前,主流的商用虚拟机软件有VMWare公司的VMWare Workstation/Server、Microsoft公司的Windows Virtual PC/Server以及Citrix公司的Xen App/Xen Server等。另一方面,虚拟机也引入了新的安全风险,出现了针对虚拟机的安全漏洞及其攻击方法,如虚拟机逃离、虚拟机跳跃、虚拟机溢出、Hypervisor漏洞等。目前,现有的安全漏洞系统不支持虚拟机环境下的安全漏洞检测,主要原因是无法识别出虚拟机,也就无法检测出虚拟机安全漏洞。也就是说,正确识别出虚拟机软件及类型,成为准确检测出虚拟机安全漏洞的先决条件和基础。
发明内容
为了克服现有VMWare虚拟机存在安全漏洞的不足,本发明提供一种VMWare虚拟机远程检测方法。该方法通过检测主机已知目标主机的IP地址,获取目标主机MAC地址,并将MAC地址发送给检测主机;检测主机接收到目标主机的MAC地址后,首先提取MAC地址中的生产厂商标识符,然后检查是否与“00:05:69”、“00:1C:14”、“00:0C:29”或“00:50:56”中的任何一个相匹配;遍历局域网中所有的目标主机,检测出所有开启的VMWare虚拟机,将所有VMWare虚拟机的IP地址、MAC地址等信息存储在数据库中,供VMWare虚拟机查询与管理以及VMWare虚拟机安全漏洞检测。由于本发明根据MAC地址中的生产厂商标识符来检测VMWare虚拟机,不仅为VMWare虚拟机安全漏洞检测提供了基础,还可用于实现对VMWare虚拟机的管理,改变目前对虚拟机缺乏有效管理手段的局面,有助于提升虚拟机环境下的系统管理和安全管理水平。
本发明解决其技术问题所采用的技术方案是:一种VMWare虚拟机远程检测方法,其特点是包括以下步骤:
步骤一、输入所有目标主机的IP地址或IP地址范围。
步骤二、顺序取出一个目标主机IP地址,使用ARP协议构造一个ARP请求包发送给该IP地址对应的目标主机,请求目标主机返回其MAC地址。
步骤三、等待接收目标主机的ARP应答包。
步骤四、接收到目标主机的ARP应答包后,从ARP应答包中提取MAC地址,解析出MAC地址中的生产厂商标识符,即MAC地址的0到23位。
步骤五、检查生产厂商标识符是否与00:05:69、00:1C:14、00:0C:29或00:50:56中的任何一个相匹配。如果匹配成功,则该目标主机为VMWare虚拟机,将该VMWare虚拟机的IP地址和MAC地址存入数据库中;如果匹配不成功,则该目标主机为非VMWare虚拟机,直接进入步骤六。
步骤六、检查所有的IP地址是否全部检测完毕,如果检测完毕,则进入步骤七;如果没有检测完毕,返回到步骤二继续检测。
步骤七、显示所有检测出的VMWare虚拟机。
本发明的有益效果是:由于该方法通过检测主机已知目标主机的IP地址,获取目标主机MAC地址,并将MAC地址发送给检测主机;检测主机接收到目标主机的MAC地址后,首先提取MAC地址中的生产厂商标识符,然后检查是否与“00:05:69”、“00:1C:14”、“00:0C:29”或“00:50:56”中的任何一个相匹配;遍历局域网中所有的目标主机,检测出所有开启的VMWare虚拟机,将所有VMWare虚拟机的IP地址、MAC地址等信息存储在数据库中,供VMWare虚拟机查询与管理以及VMWare虚拟机安全漏洞检测。由于本发明根据MAC地址中的生产厂商标识符来检测VMWare虚拟机,不仅为VMWare虚拟机安全漏洞检测提供了基础,还实现了对VMWare虚拟机的管理,改变了目前对虚拟机缺乏有效管理手段的局面,提升了虚拟机环境下的系统管理和安全管理水平。通过大量的实验验证,本发明方法检测准确率达到100%。
附图说明
图1是本发明VMWare虚拟机远程检测方法的框图。
具体实施方式
参照图1。
本发明所涉及的基本概念解释如下:
(1)VMWare虚拟机:利用VMWare虚拟机软件建立的虚拟机,VMWare虚拟机软件包括VMWare Workstation和Server两种。
(2)检测主机:在一个局域网中,运行虚拟机检测软件的联网计算机,通过网络远程检测局域网中是否存在安装和运行VMWare虚拟机的计算机。
(3)目标主机:在一个局域网中,若干待检测的联网计算机,它们可能运行VMWare虚拟机,也可能没有运行VMWare虚拟机。
(4)MAC地址:介质访问控制地址,用来定义一个联网计算机的网络物理地址,通常存储在计算机的网卡中。MAC地址长度为48位二进制,通常表示成12位十六进制数,即每4位二进制数表示成1位十六进制数,其中每两位十六进制数用“:”分割开,如XX:XX:XX:XX:XX:XX,其中X为十六进制数,取值范围1-F。为了保持MAC地址的唯一性,MAC地址被分成厂商标识符和产品标识符两部分,每个部分各为24位二进制,即6位十六进制数,其中0到23位为网卡生产厂商标识符,由相关国际组织分配;24位到47位为产品标识符,由网卡生产厂商的自行编号。各部分编号必须是唯一的。
(5)宿主机:一个运行VMWare虚拟机软件的计算机,通过VMWare虚拟机软件可建立了一个或多个VMWare虚拟机。
(6)虚拟网卡:在宿主机上,VMWare虚拟机软件为每个虚拟机自动生成一个虚拟网卡,并被分配一个MAC地址。这样,虚拟机就可以使用这个MAC地址与其它主机进行通信了。
ARP协议:地址解析协议,是TCP/IP协议集中的一个协议,在已知一个计算机IP地址而不知道MAC地址的情况下,通过ARP协议可以获取到该计算机的MAC地址。发送方通过发送ARP请求包,请求一个给定IP地址对应的计算机返回MAC地址,该计算机通过发送ARP应答包返回其MAC地址。
本发明基于如下事实和原理:
(1)在一个宿主机上使用VMWare虚拟机软件建立虚拟机时,每个虚拟机就会自动生成一个虚拟网卡,并被分配一个MAC地址,其中0到23位为VMWare虚拟机软件生产厂商标识符。
(2)根据对VMWare虚拟机软件的大量实验分析,我们发现分配给VMWare虚拟机软件生产厂商标识符通常为“00:05:69”、“00:1C:14”、“00:0C:29”和“00:50:56”等4种。
(3)如果检测到一个主机的MAC地址中包含有上述的VMWare虚拟机软件生产厂商标识符,则可以识别出该主机为VMWare虚拟机,从而实现对VMWare虚拟机的检测。
本发明所采用以下步骤:
1.获取目标主机MAC地址。
检测主机已知目标主机的IP地址,使用ARP协议构造一个ARP请求包发送给已知IP地址对应的目标主机,请求目标主机返回其MAC地址。目标主机接收到ARP请求包后,同样使用ARP协议构造一个ARP应答包,将MAC地址发送给检测主机。
2.检测VMWare虚拟机。
检测主机接收到目标主机的MAC地址后,首先提取MAC地址中的生产厂商标识符(即MAC地址的0到23位),然后检查是否与“00:05:69”、“00:1C:14”、“00:0C:29”或“00:50:56”中的任何一个相匹配。如果匹配成功,则说明该目标主机为VMWare虚拟机;否则为非VMWare虚拟机,从而实现对VMWare虚拟机的检测。
3.遍历所有目标主机。
按照上述方法,遍历局域网中所有的目标主机,检测出所有开启的VMWare虚拟机,将所有VMWare虚拟机的IP地址、MAC地址等信息存储在数据库中,供后续处理使用,包括VMWare虚拟机查询与管理、VMWare虚拟机安全漏洞检测等。
本发明的具体检测算法使用C/C++等计算机编程语言来实施,具体实施步骤如下:
1.输入所有目标主机的IP地址或IP地址范围。
2.顺序取出一个目标主机IP地址,使用ARP协议构造一个ARP请求包发送给该IP地址对应的目标主机,请求目标主机返回其MAC地址。
3.等待接收目标主机的ARP应答包。
4.接收到目标主机的ARP应答包后,从ARP应答包中提取MAC地址,解析出MAC地址中的生产厂商标识符(即MAC地址的0到23位)。
5.检查生产厂商标识符是否与“00:05:69”、“00:1C:14”、“00:0C:29”和“00:50:56”中的任何一个相匹配。如果匹配成功,则说明该目标主机为VMWare虚拟机,将该VMWare虚拟机的IP地址和MAC地址存入数据库中;否则为非VMWare虚拟机,直接进入步骤6。
6.检查所有的IP地址是否全部检测完毕,如果检测完毕,则进入步骤7;否则返回到步骤2继续检测。
7.显示所有检测出的VMWare虚拟机及其相关信息。
Claims (1)
1.一种VMWare虚拟机远程检测方法,其特征在于包括以下步骤:
步骤一、输入所有目标主机的IP地址或IP地址范围;
步骤二、顺序取出一个目标主机IP地址,使用ARP协议构造一个ARP请求包发送给该IP地址对应的目标主机,请求目标主机返回其MAC地址;
步骤三、等待接收目标主机的ARP应答包;
步骤四、接收到目标主机的ARP应答包后,从ARP应答包中提取MAC地址,解析出MAC地址中的生产厂商标识符,即MAC地址的0到23位;
步骤五、检查生产厂商标识符是否与00:05:69、00:1C:14、00:0C:29或00:50:56中的任何一个相匹配;如果匹配成功,则该目标主机为VMWare虚拟机,将该VMWare虚拟机的IP地址和MAC地址存入数据库中;如果匹配不成功,则该目标主机为非VMWare虚拟机,直接进入步骤六;
步骤六、检查所有的IP地址是否全部检测完毕,如果检测完毕,则进入步骤七;如果没有检测完毕,返回到步骤二继续检测;
步骤七、显示所有检测出的VMWare虚拟机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2013101483885A CN103236963A (zh) | 2013-04-25 | 2013-04-25 | VMWare虚拟机远程检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2013101483885A CN103236963A (zh) | 2013-04-25 | 2013-04-25 | VMWare虚拟机远程检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103236963A true CN103236963A (zh) | 2013-08-07 |
Family
ID=48884981
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2013101483885A Pending CN103236963A (zh) | 2013-04-25 | 2013-04-25 | VMWare虚拟机远程检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103236963A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103685605A (zh) * | 2013-12-20 | 2014-03-26 | 国云科技股份有限公司 | 一种检测虚拟机ip冲突的方法 |
CN104468568A (zh) * | 2014-12-05 | 2015-03-25 | 国云科技股份有限公司 | 一种虚拟机安全隔离方法 |
CN106559391A (zh) * | 2015-09-28 | 2017-04-05 | 中国移动通信集团公司 | 一种漏洞扫描的方法及装置 |
CN108616418A (zh) * | 2018-03-30 | 2018-10-02 | 新华三技术有限公司 | 检测故障的方法及装置 |
CN108920936A (zh) * | 2018-06-26 | 2018-11-30 | 郑州云海信息技术有限公司 | 一种基于Purley平台实现vmware认证的方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101030980A (zh) * | 2007-04-05 | 2007-09-05 | 中兴通讯股份有限公司 | 一种基于以太网的宽带终端识别装置及方法 |
CN102025535A (zh) * | 2010-11-17 | 2011-04-20 | 福建星网锐捷网络有限公司 | 虚拟机管理方法、装置及网络设备 |
CN102549977A (zh) * | 2009-09-24 | 2012-07-04 | 日本电气株式会社 | 虚拟服务器间通信识别系统和虚拟服务器间通信识别方法 |
US8929377B2 (en) * | 2011-03-15 | 2015-01-06 | Futurewei Technologies, Inc. | Systems and methods for automatic rack detection |
-
2013
- 2013-04-25 CN CN2013101483885A patent/CN103236963A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101030980A (zh) * | 2007-04-05 | 2007-09-05 | 中兴通讯股份有限公司 | 一种基于以太网的宽带终端识别装置及方法 |
CN102549977A (zh) * | 2009-09-24 | 2012-07-04 | 日本电气株式会社 | 虚拟服务器间通信识别系统和虚拟服务器间通信识别方法 |
CN102025535A (zh) * | 2010-11-17 | 2011-04-20 | 福建星网锐捷网络有限公司 | 虚拟机管理方法、装置及网络设备 |
US8929377B2 (en) * | 2011-03-15 | 2015-01-06 | Futurewei Technologies, Inc. | Systems and methods for automatic rack detection |
Non-Patent Citations (3)
Title |
---|
THORSTEN HOLZ FREDERIC RAYNAL: "Detecting honeypots and other suspicious environments", 《PROCEEDINGS OF THE 2005 IEEE,WORKSHOP ON INFORMATION ASSURANCE AND SECURITY》 * |
王宝林: "虚拟机检测技术研究", 《计算机安全》 * |
程微微: "虚拟机检测与反检测技术研究", 《网络安全技术与应用》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103685605A (zh) * | 2013-12-20 | 2014-03-26 | 国云科技股份有限公司 | 一种检测虚拟机ip冲突的方法 |
CN104468568A (zh) * | 2014-12-05 | 2015-03-25 | 国云科技股份有限公司 | 一种虚拟机安全隔离方法 |
CN106559391A (zh) * | 2015-09-28 | 2017-04-05 | 中国移动通信集团公司 | 一种漏洞扫描的方法及装置 |
CN106559391B (zh) * | 2015-09-28 | 2021-01-01 | 中国移动通信集团公司 | 一种漏洞扫描的方法及装置 |
CN108616418A (zh) * | 2018-03-30 | 2018-10-02 | 新华三技术有限公司 | 检测故障的方法及装置 |
CN108920936A (zh) * | 2018-06-26 | 2018-11-30 | 郑州云海信息技术有限公司 | 一种基于Purley平台实现vmware认证的方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103220298A (zh) | Windows Virtual虚拟机远程检测方法 | |
CN108206814B (zh) | 一种防御dns攻击的方法、装置及系统 | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
EP2891977B1 (en) | Method, system and device for managing software on virtual machine in cloud environment | |
CN103236963A (zh) | VMWare虚拟机远程检测方法 | |
US10666672B2 (en) | Collecting domain name system traffic | |
US11190397B2 (en) | Identifying trusted configuration information to perform service discovery | |
EP4160456A1 (en) | Method, apparatus and system for processing attack behavior of cloud application in cloud computing system | |
CN103391272B (zh) | 检测虚假攻击源的方法及系统 | |
CN102685074B (zh) | 防御网络钓鱼的网络通信系统及方法 | |
CN103607399A (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
CN103916490A (zh) | 一种域名系统dns防篡改方法及装置 | |
CN103718527A (zh) | 一种通信安全处理方法、装置及系统 | |
EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
US20240187369A1 (en) | Efficiently mapping a distributed resource to a virtual network | |
CN104506540A (zh) | 虚拟主机的读写请求处理方法及系统、宿主机 | |
CN105721441B (zh) | 一种虚拟化环境下身份认证方法 | |
CN104935551A (zh) | 一种网页篡改防护装置及方法 | |
US20180295142A1 (en) | Extracted data classification to determine if a dns packet is malicious | |
KR101772681B1 (ko) | 방화벽 장치 및 그의 구동방법 | |
CN106487760B (zh) | 多账户体系的互通方法及装置 | |
CN111177053B (zh) | 一种数据通信方法、装置、系统及计算机可读存储介质 | |
CN107231339B (zh) | 一种DDoS攻击的检测方法以及装置 | |
EP3718284A1 (en) | Extending encrypted traffic analytics with traffic flow data | |
CN105872117A (zh) | 获取mac地址的方法、虚拟机管理器及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130807 |