你没有说为什么你会关心攻击者是否使用虚拟机。我会说这无关紧要。这只是一种分心。所以我不想问这部分问题。

至于如何分辨网络上的哪台机器是主机系统，你在这种特殊情况下的能力与没有VM的情况差不多。您有 DHCP 和 ARP 日志可供查看。如果您可以识别 IP 地址，请转到您的以太网交换机并找到该 IP 地址连接到哪个物理端口 - 然后好好逛一逛该端口并使用它。别忘了带上你的线索棒。

首先，我假设您已经找到了攻击者的 IP 地址，例如使用 IDS。在这种情况下：

• 有没有办法确定攻击者正在使用虚拟机？

如果你有 IP，我能想到的一种方法是找到攻击者的 MAC。通常它会指向制造商，这将是 vmware 或其他类似的东西。nmap 可用于这种指纹识别。

• 有没有办法确定网络上的哪台机器是主机系统？

这是一个非常有趣的问题——我没有答案，我也不确定是否存在。我想如果你有一个适当的交换基础设施，你可以找到网段，但不确定你是否可以远程做更多的事情。

当然，如果你真的下定了决心，你可以试着用相反的方法找IP：假设你有一台托管交换机，试着将MAC地址一个一个地锁定到端口。最终，当您将其主机的 MAC 地址锁定到交换机端口时，您将停止与来宾通信。此外，如果使用合适的交换机，您应该能够查看是否有多个 mac 地址连接到一个端口（不幸的是，我没有可用的链接，但我已经阅读了类似的功能）。

本质上，答案取决于您是否可以看到 VM 的 MAC 地址。

如果您可以访问攻击者正在使用的主机的 MAC 地址（通过访问它所连接的交换机或通过从同一子网扫描），那么确定 VM 正在使用中，应该是公平的直截了当，因为虚拟网卡具有独特的特定 OUI（这当然是假设攻击者没有将 MAC 地址更改为不那么独特）

在跟踪它们方面，在有线网络上，托管交换机可能能够显示 MAC 地址在哪个端口上（当然 Cisco 交换机可以做到这一点）。如果网络是无线的，那可能会有点棘手。您可以确定客户端连接到的 AP（再次假设信息由 AP 提供），然后使用扫描仪（例如，kismet）查找攻击者的 MAC 地址并进行物理跟踪。