Recientemente me ha surgido la necesidad de analizar el tráfico de red de una máquina virtual en VMWare, al ir a hacerlo me di cuenta de que la interfaz de red no estaba en la lista del analizar. Al final busqué como podría hacerlo, así que vamos a ver como capturar tráfico de red en VMWare.

Cuando conectas una máquina virtual en modo NAT con VMWare esta se encuentra dentro de una subred privada, dicha subred no es accesible desde el exterior, pero sin embargo esta red tiene salida al exterior, y la máquina anfitriona también se encuentra dentro de la misma red gracias a una interfaz llamada VMNet8.

La dirección IP de esa interfaz suele ser la primera de la subred. Por ejemplo en mi caso lo podemos ver mediante el comando ifconfig en el terminal.

ifconfig vmnet8

Curiosamente, esta interfaz no aparece entre las interfaces que muestra Wireshark para poder analizar el tráfico en la misma, esto parece ser debido a que no es una interfaz BPF como las del sistema. Pues bien, hay una forma para capturar el tráfico de red de dicha interfaz, resulta que VMWare integra una herramienta para ello.

La herramienta en cuestión se llama vmnet-sniffer. La podemos encontrar en el directorio /Applications/VMWare Fusion.app/Contents/Library. La herramienta cuenta con una opción para seleccionar la interfaz, y por otra parte cuenta con la posibilidad de guardar el archivo pcap para abrirlo si queremos posteriormente con Wireshark por ejemplo. Para ejecutar la herramienta debemos disponer de permisos de root.

cd /Applications/VMWare Fusion.app/Contents/Library
./vmnet-sniffer -w /directorio/salida/pcap vmnet8

Pues tan sencillo como esto, no teníamos disponible la interfaz en Wireshark pero se ve que VMWare ha pensado en ello y ha proporcionado una herramienta para ello. Espero que os haya sido de utilidad.