那么对于网络流量来说也一样，每个虚拟机的连接都应该有专用的通道，虚拟机之间不能嗅探对方的数据包。但是，如果虚拟机平台使用了“虚拟hub”或者“虚拟交换”来连接所有虚拟机，那么虚拟机就可以进行嗅探，或者使用ARP中毒来重新定向数据包。

　　5、拒绝服务

　　由于虚拟机和宿主机共享资源，虚拟机会强制占用一些资源，从而使得其他虚拟机拒绝服务。现在通常的做法是：限制虚拟机可用资源。虚拟化技术提供了很多机制来保证这一点，把资源单独分配给一个虚拟机。正确的配置可以防止虚拟机无节制的滥用资源，从而避免拒绝服务攻击。

　　6、外部修改虚拟机

　　信任关系对虚拟机来说是个很重要的基础。例如，我们定义一个虚拟机的账户a，可以通过受保护的应用程序来访问数据库。账户a被锁定在这个应用程序里，也就是说账户a不能够访问数据库以外的应用。但是如果虚拟机可以被修改，那么账户a就有可能访问宿主机，这种信任模式就被打破了。对信任关系的保护可以通过数字签名和验证，签名的密钥应该放在安全的位置。

　　7、外部管理程序修改

　　虽然虚拟机一般都能够自我保护，但是恶意程序仍然能够影响虚拟机的管理程序。在去年加拿大举办的CanSecWest会议有一个来自VMware的研究员做了一个关于VMsafe的演讲，他利用Vmsafe API实现了一个小工具，这个工具是在VM外面运行，VM里面运行Filemon时会去修改SSDT表来监控文件的操作，在外面运行的小工具就会知道里面发生的一切，而且可以进行干预。比如说我想让VM中的系统在某些内存访问的时候产生一个断点，然后外面就可以知道里面运行的程序在做什么。因此还应该防止未授权的虚拟机管理程序，或者使用能够验证的管理程序。