Prima di tutto, presumo che tu abbia già localizzato l'indirizzo IP dell'aggressore, usando ad esempio un IDS. In questo caso:
- Ci sono modi per determinare che l'utente malintenzionato stia utilizzando una macchina virtuale?
Un modo in cui posso pensare, purché tu abbia l'IP, è trovare il MAC dell'attaccante. Solitamente indicherà il produttore, che sarà vmware o altri simili.
nmap può essere usato per questo tipo di fingerprinting.
- Ci sono modi per determinare Quale macchina sulla rete è il sistema host?
Questa è una domanda davvero interessante - e non ho una risposta, e non sono sicuro che esista.
Suppongo che tu possa localizzare il segmento di rete se disponi di un'infrastruttura di commutazione adeguata, non so se puoi fare qualcosa di più rispetto a quello remoto.
Naturalmente, se sei veramente determinato, puoi provare a trovare l'IP nel modo opposto:
Supponendo che tu abbia un interruttore gestito, prova a bloccare gli indirizzi MAC sulle porte, uno per uno. Alla fine smetterai di comunicare con l'ospite, quando blocchi l'indirizzo mac del suo host sulla porta dello switch.
Dovresti anche essere in grado di vedere se più di un indirizzo mac è collegato a una porta, se si utilizza un interruttore decente (purtroppo non ho un collegamento disponibile, ma ho letto di funzionalità come quella).