Description de Promqry 1.0 et PromqryUI 1.0

A réseau « code espion » est conçue pour collecter des données circulant au sein d'un réseau. Les données peuvent être utiles à des fins de, notamment dépannage, analyse le trafic réseau et des raisons de sécurité. Toutefois, les données peuvent être utilisées fins illégitimes, telles que l'attaque réseau. Cet article présente deux outils Promqry et PromqryUI, qui vous permettent détecter renifleurs de réseau qui exécutent sur Microsoft Windows Server 2003, Microsoft Windows XP et Microsoft Windows 2000.

Promqry est un outil de ligne de commande qui peut également être utilisé dans les scripts. PromqryUI est un outil qui dispose d'une interface graphique utilisateur Windows. Les deux outils ont les mêmes fonctionnalités de base :

• Pour interroger les interfaces réseau de l'ordinateur local
• Pour interroger les interfaces d'un seul ordinateur distant
• pour interroger une tranche d'interfaces d'ordinateurs distants

Promqry et PromqryUI nécessitent le Microsoft .NET Framework exécuter et les outils doivent s'exécuter sous le contexte de sécurité d'administrateur. En outre, les outils de disposer les limitations suivantes :

• Il ne détecte pas renifleurs autonomes.
• qu'ils ne peut pas détecter renifleurs qui sont exécutent sur des systèmes d'exploitation antérieurs à Microsoft Windows 2000.
• Il ne détecte pas à distance renifleurs qui exécutent sur Windows systèmes le matériel réseau a été modifié spécifiquement pour éviter la détection.

à la fin de l'article, vous offrir avec des détails sur la façon d'utiliser Promqry 1,0 et 1,0 PromqryUI.

Informations générales

Un réseau « code espion » est le logiciel et matériel est conçu pour collecter des données circulant au sein d'un réseau. Les données que collecte une espion peuvent être utiles nombreuses utilités, y compris dépannage, analyse le trafic réseau et des raisons de sécurité. Ce type de données peut également être utilisé fins illégitimes, y compris les vol du données, mot de passe découvrir et réseau mappage (reconnaissance). Ce type d'attaque réseau passif peut être difficile à détecter.

Une espion réseau pouvez exécuter dans un des deux modes :

• Mode non-charge
• Le mode de proximité

Renifleurs de réseau ne s'exécutent pas dans le mode de proximité généralement collecter des données à partir du réseau qui est destiné à ou envoyé depuis l'ordinateur qui exécute le code espion. Ce trafic peut inclure monodiffusion, diffusion et le trafic de multidiffusion.

Le mode de proximité est un état dans lequel une carte réseau copie toutes les trames passer sur le réseau à un tampon local, indépendamment de l'adresse de destination. Ce mode permet renifleurs de réseau capturer tout trafic réseau sur sous-réseau local le code espion ou réseau local virtuel (VLAN). Là encore, ce trafic peut inclure monodiffusion, diffusion et le trafic de multidiffusion. Vous pouvez configurer un commutateur pour limiter cette activité afin que le code espion réseau peut collecter des uniquement les données envoyées au et de l'ordinateur qui exécute le code espion (par exemple, le commutateur port que l'ordinateur qui exécute le code espion est branché sur). Si un ordinateur dispose d'interfaces réseau qui exécutent dans le mode, de proximité un espion réseau peuvent exécuter sur l'ordinateur.

Promqry et PromqryUI

Promqry et PromqryUI sont deux outils qui détectent les interfaces réseau qui exécutent dans le mode de proximité. Promqry est un outil de ligne de commande et PromqryUI est un outil qui dispose d'une interface graphique utilisateur Windows. Les deux outils ont les mêmes fonctionnalités de base. Il peuvent déterminer précisément si un ordinateur géré a interfaces réseau qui exécutent dans le mode de proximité si l'ordinateur exécute Windows 2000 ou version ultérieure. Ces outils ne peut pas détecter renifleurs autonomes ou renifleurs qui sont exécutent sur Microsoft Windows-basés ordinateurs non.

Comment faire pour obtenir les outils

Download the Promqry package now.

Download the PromqryUI package now.

Fonctionnalités courantes

À la fois Promqry et PromqryUI peuvent effectuer les opérations suivantes :

• Interroger les interfaces réseau de l'ordinateur local
• Requête d'interfaces d'un seul ordinateur distant
• Requête d'une tranche d'interfaces d'ordinateurs distants

Exécuter une commande ping lorsqu'une tranche d'ordinateurs est interrogée, à la fois des outils sont sur (à l'aide du protocole ICMP de) chaque ordinateur distant de la plage spécifiée. Si la commande ping échoue, par exemple, si l'ordinateur distant n'est pas en ligne ou se trouve derrière un pare-feu, interfaces réseau de l'ordinateur ne pas être interrogées. Cette fonctionnalité permet à la fois interroger la plage spécifiée plus rapide car ils ne pas passent temps tente d'interroger des ordinateurs inaccessibles des outils. Cette fonctionnalité ping peut être désactivée pour les réseaux qui filtrent ICMP, si nécessaire.

Par défaut, à la fois des outils fournissent la sortie commentée. Sortie commentée peut être permutée désactiver afin que seules les données récapitulatives sont fournies.

Configuration requise

• À la fois des outils nécessitent le .NET Framework afin de s'exécuter. Par conséquent, vous devez avoir le .NET Framework installée sur l'ordinateur à partir duquel vous exécutez Promqry ou PromqryUI. Toutefois, le .NET Framework n'est installé sur les ordinateurs distants que vous voulez interroger. Pour plus d'informations sur le .NET Framework, reportez-vous au adresse de site Web de Microsoft à l'adresse suivante : http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  (http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx)
• Pour utiliser l'outil pour interroger correctement un ordinateur, vous devez exécuter les outils dans le contexte de sécurité d'un administrateur sur l'ordinateur que vous interrogez.
• À la fois des outils utilisez WMI (Windows Management Instrumentation) sur les ordinateurs de requête pour les informations lorsqu'une interface est trouvée doit être exécuté en mode de charge. Par défaut, WMI est inclu dans Windows 2000, Windows XP et Windows Server 2003.
  Pour plus d'informations sur WMI, reportez-vous au adresse de site Web de Microsoft à l'adresse suivante : http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  (http://msdn2.microsoft.com/en-us/library/aa384642.aspx)
• Comme Promqry et PromqryUI utilisent WMI (et DCOM), les outils doivent avoir accès à différents ports TCP/UDP, y compris le port TCP 135, lorsqu'ils interrogent d'ordinateurs distants.
  Pour savoir de connexion aux ordinateurs distants via un pare-feu en utilisant WMI, reportez-vous au adresse de site Web de Microsoft à l'adresse suivante : http://msdn2.microsoft.com/en-us/library/aa389286.aspx
  (http://msdn2.microsoft.com/en-us/library/aa389286.aspx)

Limitations connues

Promqry et PromqryUI ont des limitations, notamment les limitations suivantes :

• Les outils ne peut pas détecter les renifleurs autonomes, par exemple, le trafic réseau périphériques qui se sont produits pour le seul but de détection. Ces périphériques peuvent utiliser différents types de matériels et logiciels.
• Les outils ne peut pas détecter renifleurs qui sont exécutent sur les systèmes d'exploitation autres que Windows 2000, Windows XP, Windows Server 2003 et systèmes d'exploitation Windows ultérieurs.
• Les outils ne détecte pas à distance renifleurs sont exécutent sur des ordinateurs Windows à du matériel réseau a été modifié en particulier pour éviter la détection. Par exemple, le matériel peut être modifiée afin que la carte d'interface réseau ou d'un câble réseau permet à l'ordinateur à recevoir le trafic à partir du réseau, mais ne pas à envoyer du trafic sur le réseau. Dans ce scénario, l'ordinateur reçoit une requête pour déterminer si elle possède des interfaces qui exécutent dans le mode de proximité, mais sa réponse ne fait aucun il revenir sur le réseau à l'ordinateur qui envoyé la requête. Toutefois, Promqry et PromqryUI permettent d'interroger ces ordinateurs localement, au lieu de à distance, pour déterminer si interfaces sont en cours d'exécution en mode de charge.

Notes sur Virtual PC et Virtual Server

Promqry et PromqryUI peuvent indiquer que l'interface physique s'exécute en mode de charge sur un ordinateur Windows qui exécute Microsoft Virtual PC ou Microsoft Virtual Server. Virtuel PC et Virtual Server Configurez les interface physique la ordinateur hôte pour s'exécuter en mode de charge.

Rapport Promqry et PromqryUI qui interface le ordinateur hôte exécute dans le mode de proximité dans l'un des conditions suivantes :

• Un ordinateur ou un serveur virtuel est configuré pour utiliser interface physique la ordinateur hôte. Par exemple, le PC ou le serveur virtuel est directement connecté au réseau la ordinateur hôte au lieu d'être configuré sur son réseau local ou configuré pour être derrière une interface qui est configurée pour effectuer (Network Address TRANSLATION).
• Une application comme une espion réseau a configuré l'interface réseau de l'ordinateur ordinateur hôte pour s'exécuter en mode de charge. Lorsque l'ordinateur ordinateur hôte est interrogé, il indique qu'une des interfaces l'ordinateur ordinateur hôte s'exécute en mode charge.

Rapport Promqry et PromqryUI qui interface le ordinateur hôte n'exécute pas le mode de proximité dans les conditions suivantes :

• Un ordinateur ou un serveur virtuel est configuré pour utiliser son propre réseau local ou est configuré pour utiliser une connexion NAT partagée. Par exemple, le PC ou le serveur virtuel n'est pas configuré pour utiliser interface physique la ordinateur hôte. Dans un de ces configurations, même lorsque le PC ou le serveur virtuel exécute une espion réseau qui configure l'interface pour s'exécuter en mode de charge, Promqry et PromqryUI rapport l'interface ne fonctionne pas en le mode de proximité. Bien que l'interface du PC ou le serveur virtuel est exécuté en le mode de proximité, l'interface n'est en mesure de détecter le trafic réseau qui est envoyée à et à partir de sa propre adresse IP. Il pourra pas détecter tout le trafic sur le sous-réseau auquel il est connecté à.

Utilisation de Promqry 1.0

Promqry est un outil de ligne de commande qui peut également être utilisé dans les scripts. Promqry interroge ordinateurs pour les interfaces qui exécutent dans le mode de proximité.

Pour interroger les interfaces de l'ordinateur local, exécutez la commande promqry.exe .

notes

• Renvoie zéro (0) si les interfaces sont trouvées doit être exécuté en mode de charge.
• Renvoie 1 si aucune interface n'est trouvé doit être exécuté en mode de charge.
• 99 Renvoie si une erreur est rencontrée.
• Les options np et nv ne sont pas valides pour une requête locale.

Pour interroger, interfaces un ordinateur distant, exécutez la promqry.exe remote_IP | remote_name [-nv]

notes

• Renvoie zéro (0) si les interfaces sont trouvées doit être exécuté en mode de charge.
• Renvoie 1 si aucune interface n'est trouvé doit être exécuté en mode de charge.
• 99 Renvoie si une erreur est rencontrée.
• L'option nv signifie qu'il y n'a aucune sortie commentée. L'option n'indique que les erreurs et des ordinateurs avec les interfaces qui exécutent dans le mode de proximité.

Pour interroger une tranche d'interfaces d'ordinateurs distants, exécuter la promqry.exe start_remote_IP:end_remote_IP [-np] [-nv] commande.

notes

• La valeur de start_remote_IP doit être inférieure à la valeur d'end_remote_IP .
• NP signifie qu'il y n'a aucune ping avant de la requête.
• NP est valide uniquement lorsque l'interrogation d'une tranche d'ordinateurs.
• NV signifie qu'il y n'a aucune sortie commentée. L'option n'indique que les erreurs et des ordinateurs avec les interfaces qui exécutent dans le mode de proximité.

Utilisation de PromqryUI 1.0

L'interface PromqryUI possède deux volets. Le volet de gauche répertorie les systèmes à la requête et le volet droit affiche la sortie générée lorsque vous cliquez sur le bouton Démarrer la requête.


Pour ajouter des systèmes à la liste des systèmes à la requête, cliquez sur Ajouter . Vous demandera si vous souhaitez ajouter un seul système ou une plage de systèmes à la liste.


Systèmes unique peuvent être ajoutés en IP adresse ou par son nom. Si un nom est ajouté, PromqryUI tente de résoudre le nom à une adresse IP lorsque vous cliquez le bouton Démarrer la requête. Si le nom ne parvient pas à résoudre à une adresse IP, la requête échoue.


Lorsque vous ajoutez une plage de systèmes à la liste des systèmes d'interroger, l'adresse IP de début doit être inférieur IP fin adresse.


Une fois que vous avez ajouté des systèmes, cliquez pour sélectionner la case en regard de chaque ou la plage à sélectionner les systèmes que vous voulez interroger. Systèmes et les plages qui ne sont pas sélectionnés ne pas être interrogées lorsque vous cliquez le bouton Démarrer la requête.


Les systèmes que vous avez ajoutés à la liste seront automatiquement enregistrées lorsque vous quittez PromqryUI comme d'habitude (en utilisant l'élément de menu Fichier, Quitter ou à l'aide de la boîte de contrôle). Le prochain que démarrage PromqryUI, la liste des systèmes la requête est automatiquement remplie avec les systèmes et les plages qui ont été enregistrés.

Vous pouvez utiliser le menu Edition pour définir l'option ping et l'option détaillée qui ont été décrites précédemment.


Appuyez sur le bouton QUERY Démarrer pour démarrer interroger les systèmes sélectionnés. En mode détaillé, chaque interface est répertoriée et si chaque interface fonctionne dans le mode de proximité.

Si aucune interface n'est trouvé doit être exécuté en mode de charge, vous recevrez un message semblable du message affiché dans le graphique ci-après.



Si une interface est trouvée doit être exécuté en mode de charge, vous recevrez un message semblable à celui affiché dans le graphique ci-après.



Lorsque PromqryUI (ou Promqry) trouve un ordinateur hôte possède une interface qui exécute dans le mode de proximité, PromqryUI utilise WMI pour interroger le ordinateur hôte pour plus d'informations pour faciliter la identifier ce ordinateur hôte. Voici un exemple de ces données :