In modalità NAT, il sottosistema di rete dell'hypervisor funziona modificando i pacchetti mentre lasciano l'host. Supponendo che TCP / IP su Ethernet, i componenti definitivamente modificati sono:
- indirizzo sorgente
- source MAC
- di solito il TTL
- spesso la porta di origine
A volte vengono modificati anche altri flag TCP come DF, dimensione della finestra, ecc.
In una rete ben educata, dove tutti questi flag e opzioni sono impostati in un modo che ha senso secondo RFC, allora quella roba può essere, e dovrebbe essere, modificata opportunamente. Uno strumento di valutazione della vulnerabilità, tuttavia, funziona facendo cose in modo non conforme e non funzionante. Pertanto, quelle intestazione e le modifiche al protocollo normalmente accettabili possono effettivamente causare errori di interpretazione dei risultati del software.
Prendiamo il rilevamento dell'OS come esempio. Il sistema genererà una combinazione di pacchetti normali e anormali in un sistema. Gli stack di rete utilizzati nella maggior parte dei sistemi operativi sono abbastanza noti che le loro risposte dovrebbero essere prevedibili in caso di esito positivo o negativo. Quindi lo strumento di valutazione prenderà le risposte, le esaminerà nella tabella di rilevamento del sistema operativo e farà alcune ipotesi su ciò che pensa che l'host remoto sia in esecuzione sulla base di tali risposte. Dal momento che il dispositivo NAT funziona scorrendo tutti i pacchetti che entrano ed escono ti contaminano i tuoi dati.
Ora, nella stragrande maggioranza dei casi i dati potrebbero ancora essere completamente soddisfacenti. Tuttavia, poiché i pacchetti vengono modificati esternamente dallo strumento di valutazione, lo strumento non saprà necessariamente quali modifiche sono state apportate. Di conseguenza, si corre il rischio che lo strumento esegua analisi su dati errati che potrebbero invalidare i risultati.
Su una nota correlata, storicamente è stata la raccomandazione di non eseguire firewall host sui sistemi di valutazione delle vulnerabilità per lo stesso motivo. Dal momento che, in base alla progettazione, generano traffico anomalo e poiché i firewall sono progettati per proteggerti dal traffico anomalo, è del tutto possibile che il firewall possa eliminare qualcosa in modo inatteso dallo strumento di valutazione. Proprio come l'esempio NAT, anche questo può invalidare i risultati.