如果是恶意软件分析，您希望作为分析对象的虚拟机将流量转发到作为代理的另一台虚拟机。如果您希望预先构建答案以欺骗恶意软件，您可以在代理中决定哪些通过，哪些保留，并重新路由包。（假cc服务器）尽可能:)

为此，我通常使用 vmware 工作站实验室，其 1 个网络接口连接到 VMware 代理中的网络 A，其中 2 个网络连接一个在网络 A 中，另一个 Nated 或与另一个物理接口桥接。

如果您希望有一些东西可以为您处理所有这一切，那么您可以全自动搜索杜鹃沙箱 :)

分析通过连接发送的数据，而不是让数据真正进入不受您控制的设备/系统。

在各种抽象级别上，只有在协商发生时才会发送数据 - 在解析 DNS 之前不会尝试建立连接，在 TCP 握手完成之前没有 TCP 流，在 SSL 握手完成之前没有通过 TLS 的 HTTP 请求，以及然后是应用程序的细节）。因此，除非您伪造对主题将使用的所有可能协议的响应，或者允许流量自由流动，否则您将看不到任何有用的数据。

（从记忆中，我认为您可以在 MSWindows 机器上看到应用程序和 winsock 之间的未加密数据 - 并且有工具可用于在 PC 上拦截这种交换）

静态路由流量

....将涵盖恶意软件尝试联系 C&C 的情况 - 但您不会看到它在您的本地网络上做了什么。我会将捕获设备配置为默认路由，但将 PC 与捕获设备一起运行在其自己的子网/物理网络中。

除此之外......wireshark。