Περιγραφή Promqry 1.0 και PromqryUI 1.0

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 892853 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
ΕΙΣΑΓΩΓΗ
Το άρθρο αυτό παρουσιάζει δύο εργαλεία που σας επιτρέπουν να εντοπίσετε ένα sniffer δικτύου που εκτελείται σε έναν υπολογιστή που εκτελεί Windows Server 2003, Windows XP ή Windows 2000.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Δίκτυο "sniffer" έχει σχεδιαστεί για τη συλλογή δεδομένων που τη ροή μέσω δικτύου. Τα δεδομένα μπορεί να είναι χρήσιμο για πολλούς σκοπούς, όπως την αντιμετώπιση προβλημάτων, η ανάλυση της κυκλοφορίας δικτύου και λόγους ασφαλείας. Ωστόσο, τα δεδομένα μπορούν να χρησιμοποιηθούν για illegitimate σκοπούς, όπως η επίθεση δικτύου. Το άρθρο αυτό παρουσιάζει δύο εργαλεία, Promqry και PromqryUI, που επιτρέπουν να εντοπίσετε εισβολείς δικτύου που εκτελείται σε Microsoft Windows Server 2003, Microsoft Windows XP και Microsoft Windows 2000.

Promqry είναι ένα εργαλείο γραμμής εντολών που μπορεί να χρησιμοποιηθεί σε δέσμες ενεργειών. PromqryUI είναι ένα εργαλείο που έχει ένα περιβάλλον εργασίας χρήστη με γραφικά των Windows. Και τα δύο εργαλεία έχουν τις ίδιες βασικές λειτουργίες:
  • Υποβολή ερωτήματος στον τοπικό υπολογιστή δικτύου διασύνδεσης
  • Ερώτημα για διασυνδέσεις ενός μεμονωμένου υπολογιστή απομακρυσμένης
  • Για να υποβάλετε ερώτημα σε ένα σύνολο διασυνδέσεων απομακρυσμένους υπολογιστές
Promqry και PromqryUI απαιτείται για την εκτέλεση του Microsoft .NET Framework και τα εργαλεία πρέπει να εκτελούνται στο περιβάλλον ασφαλείας του διαχειριστή. Επιπλέον, τα εργαλεία έχουν τους ακόλουθους περιορισμούς:
  • Δεν είναι δυνατό να ανιχνεύσουν αυτόνομη εισβολείς.
  • Δεν είναι δυνατό να ανιχνεύσουν εισβολείς που εκτελούνται σε λειτουργικά συστήματα πριν από την Microsoft Windows 2000.
  • Δεν είναι δυνατό να ανιχνεύσουν απομακρυσμένα εισβολείς που εκτελούνται σε Windows συστήματα όπου το υλικό δικτύου έχει τροποποιηθεί ειδικά για την αποφυγή ανίχνευσης.
Στο τέλος του άρθρου, παρέχονται με λεπτομέρειες σχετικά με τον τρόπο χρήσης Promqry 1.0 και PromqryUI 1.0.

Περισσότερες πληροφορίες

Γενικές πληροφορίες


Ένα δίκτυο "sniffer" είναι το λογισμικό και υλικό που έχει σχεδιαστεί για τη συλλογή δεδομένων που τη ροή μέσω δικτύου. Τα δεδομένα που συλλέγονται sniffer μπορεί να είναι χρήσιμο για πολλούς σκοπούς, όπως την αντιμετώπιση προβλημάτων, η ανάλυση της κυκλοφορίας δικτύου και λόγους ασφαλείας. Αυτός ο τύπος δεδομένων μπορεί να χρησιμοποιηθεί επίσης για illegitimate σκοπούς, συμπεριλαμβανομένης της κλοπής δεδομένων, κωδικού αποκρυπτογράφησης κωδικών και δίκτυο αντιστοίχισης (reconnaissance). Αυτός ο τύπος επίθεσης παθητικό δικτύου μπορεί να είναι δύσκολο να εντοπίσετε.

Sniffer δικτύου μπορεί να εκτελεστεί σε μία από τις δύο λειτουργίες:
  • Μη αδιάκριτης λειτουργίας
  • Αδιάκριτης λειτουργίας
Οι εισβολείς δικτύου που δεν λειτουργούν σε αδιάκριτη κατάσταση λειτουργίας συνήθως συλλέγει δεδομένα από το δίκτυο που προορίζονται για ή αποστέλλονται από τον υπολογιστή που εκτελεί το sniffer. Αυτή η κίνηση ενδέχεται να περιλαμβάνουν μοναδικής διανομής, εκπομπής και κυκλοφορία πολλαπλής διανομής.

Promiscuous mode is a state in which a network adapter card copies all the frames that pass over the network to a local buffer, regardless of the destination address. This mode enables network sniffers to capture all network traffic on the sniffer's local subnet or virtual local area network (VLAN). Again, this traffic may include unicast, broadcast, and multicast traffic. You can configure a switch to limit this activity so that the network sniffer can collect only data sent to and from the computer that is running the sniffer (for example, the switch port that the computer that is running the sniffer is plugged into). If a computer has network interfaces that are running in Promiscuous mode, a network sniffer may be running on the computer.

Promqry and PromqryUI


Promqry and PromqryUI are two tools that detect network interfaces that are running in Promiscuous mode. Promqry is a command-line tool, and PromqryUI is a tool that has a Windows graphical user interface. Both tools have the same basic functionality. They can accurately determine whether a managed computer has network interfaces that are running in Promiscuous mode if the computer is running Windows 2000 or a later version. These tools cannot detect stand-alone sniffers or sniffers that are running on non-Microsoft Windows-based computers.

How to obtain the tools

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Λήψη
Download the Promqry package now.

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Λήψη
Download the PromqryUI package now.

Common features

Both Promqry and PromqryUI can do the following things:
  • Query the local computer's network interfaces
  • Query a single remote computer's interfaces
  • Query a range of remote computers' interfaces
When a range of computers is queried, both tools will ping (by using the ICMP protocol) each remote computer in the specified range. If the ping fails, for example, if the remote computer is not online or is behind a firewall, the computer's network interfaces will not be queried. This feature allows both tools to query the specified range quicker because they will not spend time attempting to query unreachable computers. This ping feature can be disabled for networks that filter ICMP, if it is required.

By default, both tools provide verbose output. Verbose output can be toggled off so that only summary data is provided.

ΑΠΑΙΤΗΣΕΙΣ

  • Both tools require the .NET Framework in order to run. Therefore, you must have the .NET Framework installed on the computer from which you run Promqry or PromqryUI. However, the .NET Framework does not have to be installed on the remote computers that you want to query. For more information about the .NET Framework, visit the following Microsoft Web site:http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  • To use either tool to successfully query a computer, you must run the tools under the security context of an administrator on the computer that you are querying.
  • Both tools use Windows Management Instrumentation (WMI) to query computers for information when an interface is found to be running in Promiscuous mode. By default, WMI is included in Windows 2000, Windows XP, and Windows Server 2003.
    For more information about WMI, visit the following Microsoft Web site:http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  • Because Promqry and PromqryUI use WMI (and DCOM), the tools must have access to various TCP/UDP ports, including TCP port 135, when they query remote computers.
    For information about connecting to remote computers through a firewall by using WMI, visit the following Microsoft Web site:http://msdn2.microsoft.com/en-us/library/aa389286.aspx

Known limitations

Promqry and PromqryUI have some limitations, including the following limitations:
  • The tools cannot detect stand-alone sniffers, for example, devices that are manufactured for the sole purpose of sniffing network traffic. These devices can use different types of hardware and software.
  • The tools cannot detect sniffers that are running on operating systems other than Windows 2000, Windows XP, Windows Server 2003, and later Windows operating systems.
  • The tools cannot remotely detect sniffers that are running on Windows-based computers where the network hardware has been modified specifically to avoid detection. For example, the hardware may be modified so that the network interface card or a network cable allows the computer to receive traffic from the network, but not to send traffic to the network. In this scenario, the computer receives a query to determine whether it has interfaces that are running in Promiscuous mode, but its response does not make it back across the network to the computer that sent the query. However, Promqry and PromqryUI can be used to query these computers locally, instead of remotely, to determine whether interfaces are running in Promiscuous mode.

Notes on Virtual PC and Virtual Server

Promqry and PromqryUI may report that the physical interface is running in Promiscuous mode on a Windows-based computer that is running Microsoft Virtual PC and/or Microsoft Virtual Server. Virtual PC and Virtual Server will configure the host's physical interface to run in Promiscuous mode.

Promqry and PromqryUI report that the host's interface is running in Promiscuous mode in any one of the following conditions:
  • Ένα εικονικό Υπολογιστή ή διακομιστή έχει ρυθμιστεί για χρήση φυσικής διασύνδεσης του κεντρικού υπολογιστή. Για παράδειγμα, το εικονικό Υπολογιστή ή διακομιστή είναι απευθείας συνδεδεμένος ο κεντρικός υπολογιστής δικτύου αντί να είναι ρυθμισμένες στον δικό του τοπικού δικτύου ή έχει ρυθμιστεί ώστε να είναι πίσω από μια διασύνδεση που έχει ρυθμιστεί ώστε να εκτελεί μετάφραση διευθύνσεων δικτύου (NAT).
  • Μια εφαρμογή, όπως ένα sniffer δικτύου έχει ρυθμίσει τις παραμέτρους διασύνδεσης δικτύου στον κεντρικό υπολογιστή για να εκτελεστεί σε αδιάκριτη κατάσταση λειτουργίας. Όταν απευθύνεται στον κεντρικό υπολογιστή, αναφέρει ότι μία από τις διασυνδέσεις του κεντρικού υπολογιστή εκτελούνται σε αδιάκριτη κατάσταση λειτουργίας.
Έκθεση Promqry και PromqryUI που διασύνδεση του κεντρικού υπολογιστή δεν λειτουργεί σε αδιάκριτη κατάσταση λειτουργίας υπό τις ακόλουθες συνθήκες:
  • Ένα εικονικό Υπολογιστή ή διακομιστή έχει ρυθμιστεί να χρησιμοποιεί τη δική του τοπικού δικτύου ή έχει ρυθμιστεί να χρησιμοποιεί Κοινόχρηστη σύνδεση NAT. Για παράδειγμα, το εικονικό Υπολογιστή ή διακομιστή δεν έχει ρυθμιστεί για χρήση φυσικής διασύνδεσης του κεντρικού υπολογιστή. Σε μία από αυτές τις ρυθμίσεις, ακόμα και όταν το εικονικό PC ή ο διακομιστής εκτελεί ένα sniffer δικτύου που ρυθμίζει τις παραμέτρους του περιβάλλοντος εργασίας για εκτέλεση σε αδιάκριτη κατάσταση λειτουργίας, Promqry και PromqryUI αναφορά που η διασύνδεση δεν εκτελείται σε αδιάκριτη κατάσταση λειτουργίας. Παρόλο που το περιβάλλον του εικονικού Υπολογιστή ή διακομιστή εκτελείται σε αδιάκριτη κατάσταση λειτουργίας, το περιβάλλον εργασίας μόνο θα sniff κυκλοφορία δικτύου που αποστέλλονται προς και από τη δική του διεύθυνση IP. Δεν θα έχετε τη δυνατότητα να sniff την κυκλοφορία του δευτερεύοντος δικτύου που είναι συνδεδεμένος.

Χρήση Promqry 1.0

Promqry είναι ένα εργαλείο γραμμής εντολών που μπορεί να χρησιμοποιηθεί σε δέσμες ενεργειών. Promqry ερωτήματα υπολογιστές για τις διασυνδέσεις που εκτελούνται σε αδιάκριτη κατάσταση λειτουργίας.

Ερώτημα για τις διασυνδέσεις του τοπικού υπολογιστή, εκτελέστε τοpromqry.exeΕντολή.

ΣΗΜΕΙΩΣΕΙΣ
  • Επιστρέφει μηδέν (0) Εάν βρεθούν τα περιβάλλοντα εργασίας να λειτουργούν σε αδιάκριτη κατάσταση λειτουργίας.
  • Αποδίδει 1 αν βρεθούν διασυνδέσεις χωρίς να εκτελείται σε αδιάκριτη κατάσταση λειτουργίας.
  • 99 Επιστρέφει αν παρουσιαστεί σφάλμα.
  • Για ναNPANDNVεπιλογές δεν είναι έγκυρη για ένα τοπικό ερώτημα.
Ερώτημα για τις διασυνδέσεις του απομακρυσμένου υπολογιστή, εκτελέστε τοremote_IP promqry.exe | remote_name [-nv]

ΣΗΜΕΙΩΣΕΙΣ
  • Επιστρέφει μηδέν (0) Εάν βρεθούν τα περιβάλλοντα εργασίας να λειτουργούν σε αδιάκριτη κατάσταση λειτουργίας.
  • Αποδίδει 1 αν βρεθούν διασυνδέσεις χωρίς να εκτελείται σε αδιάκριτη κατάσταση λειτουργίας.
  • 99 Επιστρέφει αν παρουσιαστεί σφάλμα.
  • Για ναNVεπιλογή σημαίνει ότι δεν υπάρχει καμία λεπτομερή δεδομένα εξόδου. Η επιλογή μόνο αναφορές σφαλμάτων και υπολογιστές με διασυνδέσεις που εκτελούνται σε αδιάκριτη κατάσταση λειτουργίας.
Για να υποβάλετε ερώτημα σε ένα σύνολο διασυνδέσεων απομακρυσμένους υπολογιστές, εκτελέστε τοstart_remote_IP:end_remote_IP promqry.exe [-np] [-nv]Εντολή.

ΣΗΜΕΙΩΣΕΙΣ
  • Η τιμή τουstart_remote_IPπρέπει να είναι μικρότερη από την τιμή τηςend_remote_IP.
  • NPσημαίνει ότι δεν υπάρχει καμία ping πριν από το ερώτημα.
  • NPείναι έγκυρη μόνο κατά την υποβολή ερωτημάτων σε μια ποικιλία υπολογιστών.
  • NVσημαίνει ότι δεν υπάρχει καμία λεπτομερή δεδομένα εξόδου. Η επιλογή μόνο αναφορές σφαλμάτων και υπολογιστές με διασυνδέσεις που εκτελούνται σε αδιάκριτη κατάσταση λειτουργίας.

Χρήση PromqryUI 1.0

Η διασύνδεση PromqryUI έχει δύο τμήματα. Στο αριστερό τμήμα παραθύρου εμφανίζει σε λίστα τα συστήματα σε ερώτημα και το δεξιό τμήμα παραθύρου εμφανίζει την έξοδο που δημιουργείται όταν κάνετε κλικ στο κουμπί START QUERY.
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Κύριο παράθυρο PromqryUI


Για να προσθέσετε συστήματα συστημάτων για να υποβάλετε ερώτημα στη λίστα, κάντε κλικ στο κουμπίADD. You will be asked whether you want to add a single system or a range of systems to the list.
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Select
		  Addition Type dialog box


Single systems can be added by IP address or by name. If a name is added, PromqryUI attempts to resolve the name to an IP address when you click the START QUERY button. If the name fails to resolve to an IP address, the query fails.
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Add System to Query dialog
		  box


When you add a range of systems to the list of systems to query, the start IP address must be less than the end IP address.
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Add
		  Range of Systems to Query dialog box


After you add systems, click to select the box next to each or range to select the systems that you want to query. Systems and ranges that are not selected will not be queried when you click the START QUERY button.
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Select the systems you want to
		  query


Any systems that you have added to the list will be automatically saved when you exit PromqryUI in the usual manner (by using theFile, Exitmenu item or by using the control box). The next time you start PromqryUI, theSystems To Querylist is automatically populated with the systems and ranges that were saved.

Μπορείτε να χρησιμοποιήσετε τοΕπεξεργαστείτε τη διαδρομήmenu to set the ping option and the verbose option that were described earlier.
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Ping Before Query option and
		  Verbose Output option


Press the START QUERY button to start to query the selected systems. In verbose mode, each interface is listed and whether each interface is running in Promiscuous mode.

If no interfaces are found to be running in Promiscuous mode, you will receive a message similar to the message displayed in the graphic below.

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Query
		  Result output dialog (no interfaces are found in Promiscuous
		  mode)


If an interface is found to be running in Promiscuous mode, you will receive a message similar to the one displayed in the graphic below.

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Query
		  Result output dialog (an interface is found in Promiscuous
		  mode)


When PromqryUI (or Promqry) finds a host that has an interface that is running in Promiscuous mode, PromqryUI uses WMI to query the host for additional information to make it easier to identify that host. The following is an example of this data:
Computer name: MYCOMPUTER
Domain: contoso.com
Computer manufacturer: Dell Computer Corporation
Computer model: Precision WorkStation 340
Primary owner: John Smith
User currently logged on: contoso\user1
Operating : Microsoft(R) Windows(R) Server 2003, Enterprise Edition
Organization: Contoso Corp.

Ιδιότητες

Αναγν. άρθρου: 892853 - Τελευταία αναθεώρηση: Πέμπτη, 23 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Λέξεις-κλειδιά: 
kbnetworkmon kbnetwork kbinfo kbmt KB892853 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:892853

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com