摸透仿真网络模式，更好完成取证鉴定

随着虚拟化技术和容器化技术在IT领域的广泛应用，电子数据取证专家必须对这些环境中的数据进行有效分析。本文旨在探讨VMware系统仿真和容器仿真的网络模式，并分析它们在电子数据取证中的影响。

01

VMware仿真

在电子数据取证中的作用

在电子数据取证领域，VMware仿真技术发挥着重要的作用。VMware仿真技术是一种强大的虚拟化工具，能够模拟真实的计算机环境，使得取证专家可以在隔离和受控的环境中进行分析和取证工作。

02

VMware系统仿真网络模式

将虚拟机的虚拟网卡与物理机的网卡通过虚拟网桥相连，可以理解为将物理机比作一个交换机，此时物理机和虚拟机全部连接在这一个交换机上，且他们属于同一网段，互相可以通信并不影响。（此时虚拟机使用DHCP动态获取IP地址可以得到物理机局域网内相同网段的IP）

如上图所示：安装VMware软件后，物理机的网卡会添加一个名为“VMware Bridge Protocol”的协议。这个协议的作用是允许物理机的网络适配器与VMware虚拟机的网络适配器之间进行通信。当虚拟机网卡配置为桥接模式时，虚拟机网卡具有和物理机网卡（Intel I225-V）直连的功能。

需要理解的是：虚拟网桥会转发主机网卡接收到的广播和组播信息，以及目标为虚拟机学习到内网IP地址的单播。所以，与虚拟交换机连接的虚拟网卡（如：eth0、eth1等）接收到了路由器发出的DHCP信息及路由更新。

通过运用物理机的网络地址转换（NAT）功能，我们可以将虚拟机的网络请求转化为物理机的网络请求，这样虚拟机便能通过物理机实现对外部网络的访问。可以理解为将物理机比作一个路由器，在NAT模式下，虚拟机对外界的可见性被限制，尽管如此，虚拟机依然有能力访问外界所提供的服务。

如上图NAT模式下NAT设置中网关地址为192.168.8.2,DHCP设置中配置了虚拟机可以使用的IP地址范围。

在NAT模式中，主机网卡直接与虚拟NAT设备相连，然后虚拟NAT设备与虚拟DHCP服务器一起连接在虚拟交换机VMnet8上，这样就实现了虚拟机联网。那么为什么需要虚拟网卡VMware Network Adapter VMnet8呢？

通过实验如下图，当禁用虚拟网卡VMware Network Adapter VMnet8后，测试虚拟机依然具有访问外网的能力.且数据包是通过网关192.168.8.2进行转发。

需要理解的是：上图中虚拟机与外部通信是利用虚拟路由器来使虚拟机连接外网，而VMware Network Adapter VMnet8虚拟网卡是用来与虚拟机通信的。

在进行取证工作时，若需让虚拟机访问外部网络以搜集相关信息，同时又不希望虚拟机的真实IP地址被暴露，NAT模式则成了一个理想的选择。

相当于无外网模式，只有物理机内部和虚拟机互相通讯，保证安全。逻辑网络图如下所示。

在桥接模式下，DHCP服务通常是由内部网络中的路由器所提供的，以确保虚拟机能够自动获取IP地址。虚拟机被视为真实的计算机，只有在获得IP地址后，才能与物理机处于同一局域网内，从而实现通信。与此不同，在NAT模式下，虚拟机是通过VMware提供的DHCP服务来获取IP地址的。虚拟机与物理机之间的通信是通过虚拟交换机实现的，这使得两张虚拟网卡能够相互通信。

在桥接模式中，虚拟机与局域网内其他计算机能够直接通信，原因在于它们都处于同一局域网环境中。然而，在NAT模式下，虚拟机可以正常访问外部资源，但无法直接接收来自局域网内其他计算机的访问请求。这是因为虚拟机发出的数据包经过NAT转换后，其源IP地址被映射至物理机的实际物理网卡上，显示为物理机的IP地址。因此，其他计算机无法准确识别并访问虚拟机的真实IP地址。

03

Docker容器仿真网络模式

通常情况下，容器会依赖于实体物理机系统或虚拟机系统。因此，在进行网络调试时，我们应首先确保上层系统层面的网络配置正确无误。随后，再根据实际需求对容器的网络模式进行相应的调整，确保取证工作顺利开展。

Docker 利用Linux Container技术，实现了轻量级的虚拟化，旨在隔离进程和资源。该技术基于namespace实现，有效隔离了网络、进程等关键资源。在同一namespace下，Docker 提供了多种网络模式以满足不同需求。

此为 Docker 默认的网络模式，其原理类似于 VMware 的 NAT 模式。在安装 Docker 时，会为主机创建一个名为 docker0 的网卡，该网卡与虚拟交换机相连。当以 Bridge 模式创建并启动容器时，会为容器分配一个虚拟网卡，其 IP 地址与物理机的 docker0 位于同一局域网内（通常为 172.16.0.0 网段）。此后，容器的网络行为与 VMware 的 NAT 模式相同。

如上图所示：docker0 网络是Docker创建的默认网络，用于连接所有使用默认网络设置的容器。在这个网络中，容器将获得一个IP地址，该地址位于 172.17.0.0/16子网中。容器之间可以通过这些IP地址相互通信，同时它们也可以通过网关地址172.17.0.1访问宿主机。

使用 Docker 创建一个使用桥接模式的 nginx 容器，并将容器的 80 端口映射到宿主机的8080端口。

上图为容器连接到了名为“bridge”的默认网络，将容器的 8080 端口映射到宿主机的 8080 端口。

此模式下，容器直接使用物理机的当前网络。因此，容器暴露的端口可直接在物理机上访问，仿佛容器内的程序直接在物理机上运行。

docker run --name=my_nginx_host -d -p 8088:80 --network=host nginx

这个命令将创建一个名为“my_nginx_host”的容器，并使用 nginx 镜像运行它。--network=host选项表示容器将使用Host模式，这意味着容器将直接使用物理机的网络堆栈。-p 8088:80选项表示将容器的80端口映射到物理机的8088 端口。

在此模式下，容器与指定的另一个容器共享网络。这意味着这两个容器不能暴露相同的端口。

如上图所示：创建一个名为“my_custom_network”的自定义网络，这个命令将创建一个名为“my_nginx_container”的容器，并使用 nginx 镜像运行它。--network=my_custom_network选项表示容器将连接到名为my_custom_network的自定义网络。-p 8088:80选项表示将容器的 80 端口映射到宿主机的 8088 端口。

在此模式下，不会为容器创建网卡，因此容器无法与外部进行通信。

04

网络模式的异同点

案例：在VMware仿真中应用桥接模式进行电子数据取证

场景描述： 

假设我们正在调查一起黑客攻击案件，并已经确定了涉案的计算机系统。为了分析该系统的网络通信数据，我们需要建立一个与涉案系统类似的仿真环境。

操作步骤：

1. 使用VMware Workstation创建一个虚拟机，设置好操作系统和必要的软件。

2. 将虚拟机的网络模式设置为桥接模式，以便虚拟机与外部网络直接连接。

3. 在虚拟机中安装网络嗅探工具（如Wireshark），开始捕获网络流量。

4. 通过网络嗅探工具监听虚拟机的网络通信，分析数据包内容，获取黑客攻击的IP地址、端口等信息。

5. 根据捕获的数据，进一步分析黑客的攻击手法和入侵路径。

综上所述，VMware仿真取证工作中，不同的网络连接模式各具特点，各有适用场景。针对特定的取证需求，应选择恰当的网络连接模式。深入理解各种网络连接模式的运作原理，有助于更有效地利用VMware进行仿真取证，从而提升取证效率与准确性。