Promqry 1. 0 および 1. 0 の PromqryUI の説明

文書番号: 892853 - 対象製品
機械翻訳の免責機械翻訳版の免責を確認する
概要
この記事では 2 つツールを使用して Windows Server 2003、Windows XP または Windows 2000 を実行してはコンピューターで実行しているネットワーク スニッファを検出することを紹介します。
すべて展開する | すべて折りたたむ

目次

概要

ネットワーク スニッファの A はデータをネットワーク経由で流れるが収集されています。 データは、多くため、トラブルシューティング、ネットワーク トラフィックの分析、およびセキュリティを確保するために便利なことができます。 ただし、データをネットワーク攻撃などの規則に反するために、使用できます。 この記事では、Promqry と PromqryUI、2 つのツールを紹介することができます Microsoft Windows Server 2003 で、Microsoft Windows XP および Windows 2000 を実行しているネットワーク スニッファを検出します

Promqry はスクリプトでも使用できるコマンド ライン ツールです。 PromqryUI は、Windows グラフィカル ユーザー インターフェイスのあるツールです。 両方のツールは同じ基本的な機能を使用:
  • ローカル コンピューターのネットワーク インターフェイスを照会するには
  • リモート コンピューターの 1 つのインターフェイスを照会するには
  • さまざまなリモートのコンピューターのインターフェイスを照会するには
Promqry と PromqryUI を実行するには、Microsoft .NET Framework を必要し、ツールは、管理者のセキュリティ コンテキストで実行する必要があります。 ツールは、さらに、次のような制限のある:
  • これらは検出できませんスタンドアロン スニッファ。
  • が Microsoft Windows 2000 以前にオペレーティング システムで実行されているスニッファを検出できません:
  • リモートを回避する具体的には、ネットワーク ハードウェアが変更されたシステムを Windows 上で実行スニッファを検出したことはできません検出。
Promqry 1. 0 および PromqryUI 1. 0 を使用する方法の詳細についてで提供される資料の最後に、:
先頭へ戻る | フィードバック

詳細

背景情報


ネットワーク「スニファー」とはソフトウェアとデータは、ネットワーク経由で流れるを収集するように設計されたハードウェアです。 スニッファを収集するデータは、多くため、トラブルシューティング、ネットワーク トラフィックの分析、およびセキュリティを確保するために便利なことができます。 この種類のデータは、規則に反するため、データ盗難、解読、およびマッピング (偵察) のネットワーク パスワードを含む) も使用できます。 この種のパッシブ ネットワーク攻撃は検出困難です。

2 つのモードのいずれかで、ネットワーク スニッファを実行できます。
  • なし-無作為検出モード
  • 無作為検出モード
宛てされたり、スニファーが実行されているコンピューターから送信されるネットワークからデータを収集するネットワーク スニッファ通常無作為検出モードで実行しません。 このトラフィックにはユニキャスト、ブロードキャスト、マルチキャスト トラフィックなどが指定されて。

無作為検出モードは、ネットワーク アダプター カードをコピー先アドレスにかかわらず、ローカルのバッファーにネットワーク経由で渡すことのすべてのフレームで、状態です。 このモードでは、スニファーのローカル サブネットまたは仮想ローカル エリア ネットワーク (VLAN) 上のすべてのネットワーク トラフィックをキャプチャするネットワーク スニッファをできます。 もう一度このトラフィックはユニキャストなどブロードキャスト、マルチキャスト トラフィックが。 ネットワーク スニッファと、スニファー (たとえば、スニファーを実行してがコンピューターに接続されているスイッチ ポート) が実行されているコンピューターから送受信されるデータのみを収集できますようにこのアクティビティを制限するスイッチを構成できます。 コンピューターが、コンピューター上で無作為検出モード、ネットワーク スニッファで実行されているネットワーク インターフェイスを実行してされる可能性があります。

Promqry および PromqryUI


Promqry と PromqryUI は、無作為検出モードで実行されているネットワーク インターフェイスを検出するツールを 2 つです。 Promqry は、コマンド ライン ツールであり、PromqryUI は、Windows グラフィカル ユーザー インターフェイスを含むツールです。 両方のツールは、同じ基本的な機能を使用します。 管理されたコンピューターが Windows 2000 またはそれ以降のバージョンにコンピューターが実行されている場合に、無作為検出モードで実行されているネットワーク インターフェイスかどうかを決定する正確にことができます。 これらのツールは、スタンドアロン スニッファまたはコンピューターの Microsoft Windows ベース以外の上で実行されているスニッファ検出できません。

ツールの入手方法

元に戻す画像を拡大する
Download
Download the Promqry package now.
(http://www.microsoft.com/downloads/details.aspx?FamilyId=4DF8EB90-83BE-45AA-BB7D-1327D06FE6F5&displaylang=en)


元に戻す画像を拡大する
Download
Download the PromqryUI package now.
(http://www.microsoft.com/downloads/details.aspx?FamilyId=1A10D27A-4AA5-4E96-9645-AA121053E083&displaylang=en)


共通の機能

オプションを両方 Promqry PromqryUI できる実行以下。
  • ローカル コンピューターのネットワーク インターフェイスをクエリします。
  • リモート コンピューターの 1 つのインターフェイスを照会します。
  • リモート コンピューターのインターフェイスの範囲を照会します。
ICMP プロトコルを使用して) では (両方のツールは ping を実行コンピューターの範囲はクエリされるときに、指定した範囲内の各リモート コンピューター。 失敗する、ping と、たとえば、リモート コンピューターをオンラインいないや、ファイアウォール、コンピューターのネットワーク インターフェイスが照会するされません。 この機能はこれらは到達できないコンピューターを照会しようとして時間をかけないでため高速指定した範囲を照会する両方のツールを使用できます。 この ping 機能必要な場合が ICMP、フィルター処理するネットワークに対するを無効にすることができます。

既定では、両方ツール詳細出力が提供されます。 集計データだけで提供されるようにオフ詳細出力が切り替えるされることができます。

要件

  • 両方のツールを実行のために、.NET Framework が必要になります。 したがって、.NET Framework Promqry または PromqryUI 実行する元のコンピューターにインストールしなければなりません。 ただし、クエリを実行するリモート コンピューターにインストールする、.NET Framework がありません。 .NET Framework の詳細については、次のマイクロソフト Web サイトを参照してください: http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
    (http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx)
  • 正常にコンピューターを照会するどちらのツールを使用にはクエリを実行するコンピューターで管理者のセキュリティ コンテキストでツールを実行します。
  • 両方のツール Windows の管理の実装 (WMI) を使用してクエリ コンピューターについて無作為検出モードで実行するインターフェイスが見つかるとします。 既定では WMI が Windows 2000、Windows XP および Windows Server 2003 で表示されます。
    WMI の詳細については、次のマイクロソフト Web サイトを参照してください: http://msdn2.microsoft.com/en-us/library/aa384642.aspx
    (http://msdn2.microsoft.com/en-us/library/aa384642.aspx)
  • Promqry と PromqryUI は WMI だ (および DCOM) を使用、するためのツール アクセス必要があります、リモート コンピューターを照会するときに TCP ポート 135 などを含む各種の TCP または UDP ポートに。
    WMI を使用して、ファイアウォール経由のリモート コンピューターに接続する方法については、次のマイクロソフト Web サイトを参照してください: http://msdn2.microsoft.com/en-us/library/aa389286.aspx
    (http://msdn2.microsoft.com/en-us/library/aa389286.aspx)

既知の制限

Promqry と PromqryUI は次のような制限を含む、いくつかの制限があります。
  • ツールは、スタンドアロン スニッファを検出できない、たとえば、スニッフィングの目的は、製造されているデバイスのネットワーク トラフィック。 これらのデバイスは、別の種類のハードウェアおよびソフトウェアを使用することができます。
  • ツールは、Windows 2000、Windows XP、Windows Server 2003 およびそれ以降の Windows オペレーティング システム以外のオペレーティング システム上で実行されているスニッファが見つかりません。
  • ツールでは、スニッファ検出を回避する、ネットワーク ハードウェアが変更された Windows ベースのコンピューターで実行されているリモートで検出できません。 たとえば、ネットワーク インターフェイス カードまたはネットワーク ケーブルを使用して、コンピューター、ネットワークからトラフィックを受信できないが、ネットワークにトラフィックを送信できるように、ハードウェアが変更される可能性があります。 このシナリオでは、コンピューターがそのがインターフェイスを無作為検出モードで実行しているかどうかを判断、照会を受け取ったはその応答はしないネットワーク経由で再び、クエリを送信しているコンピューター。 ただし、Promqry および PromqryUI をインターフェイスは無作為検出モードで実行されているかどうかを確認するリモートではなくローカルで、これらのコンピューターを照会する使用されることができます。

Virtual PC および仮想サーバーに関する注意事項

Promqry および PromqryUI Microsoft Virtual PC およびマイクロソフトの仮想サーバーを実行する Windows ベースのコンピューター、物理インターフェイスが無作為検出モードでして動作すること報告可能性があります。 仮想コンピューターと仮想サーバーは無作為検出モードで実行するホストの物理インターフェイス構成します。

ホストのインターフェイスは、次の条件のいずれかで無作為検出モードで実行している Promqry と PromqryUI のレポート:
  • ホストの物理インターフェイスを使用するには仮想 PC やサーバーがよう構成します。 たとえば、仮想 PC やサーバーが直接独自のローカル ネットワーク上で構成されているのではなく、ホストのネットワークに接続したりするネットワーク アドレス変換 (NAT) を実行するように構成されているインターフェイスの背後になるように構成します。
  • ネットワーク スニッファなどのアプリケーションが無作為検出モードで実行するホスト コンピューターのネットワーク インターフェイスを構成します。 ホスト コンピューターが照会無作為検出モードで、ホスト コンピューターのインターフェイスのいずれかが実行されていることが報告されます。
ホストのインターフェイスは、次のような条件下で、無作為検出モードで実行されていない Promqry と PromqryUI のレポート:
  • 仮想コンピューターまたはサーバーを独自のローカル ネットワーク使用するように構成されてか、または共有 NAT 接続を使用する構成されています。 たとえば、仮想コンピューターまたはサーバーが、ホストの物理インターフェイスを使用する構成されません。 これらの構成のいずれか、PromqryUI レポートを仮想 PC またはサーバーが無作為検出モード、Promqry で実行するインターフェイスを構成するネットワーク スニッファを実行している場合でも、インターフェイスはありませんで実行中無作為検出モードです。 仮想コンピューターまたはサーバーのインターフェイスは無作為検出モードで実行されているが、インターフェイスのみできなくと独自の IP アドレスの間に送信されるネットワーク トラフィックを盗聴します。 接続されているサブネット上ですべてのトラフィックを盗聴することはできません。

Promqry 1. 0 の使用法

Promqry は、スクリプトでも使用できるコマンド ライン ツールです。 Promqry は、インターフェイスを無作為検出モードで実行しているコンピューターを問い合わせます。

ローカル コンピューターのインターフェイスを照会、 promqry.exe コマンドを実行します。

メモ
  • ゼロ無作為検出モードで実行されるすべてのインターフェイスが見つかった場合は (0) を返します。
  • 無作為検出モードで実行するインターフェイスが見つからない場合は 1 を返します。
  • エラーが発生した場合、99 を返します。
  • np および nv のオプションはローカル クエリに対して無効です。
リモート コンピューターのインターフェイスを照会して、実行、 promqry.exe remote_IP | remote_name [-nv]

メモ
  • ゼロ無作為検出モードで実行されるすべてのインターフェイスが見つかった場合は (0) を返します。
  • 無作為検出モードで実行するインターフェイスが見つからない場合は 1 を返します。
  • エラーが発生した場合、99 を返します。
  • nv オプションは詳細出力がなしことを示します。 オプションのみエラーと無作為検出モードで実行されているインターフェイスを持つコンピューターが報告されます。
さまざまなリモートのコンピューターのインターフェイスを照会、実行、 promqry.exe start_remote_IP:end_remote_IP [-np] [-nv] コマンド。

メモ
  • start_remote_IP の値を end_remote_IP の値より小さくにはなりません。
  • np は、クエリーの前に、の ping がないことを示します。
  • np は、コンピューターの範囲を照会する場合にのみ有効です。
  • nv は詳細出力がないことを示します。 オプションのみエラーと無作為検出モードで実行されているインターフェイスを持つコンピューターが報告されます。

PromqryUI 1. 0 の使用法

PromqryUI インターフェイスには、2 つのペインがあります。 左側のペインのクエリに、システムを示し右ウインドウには、クエリの開始ボタンがクリックされたときに生成される出力が表示されます。
元に戻す画像を拡大する
PromqryUI main window


照会するシステムの一覧には、システムを追加するには、[ 追加 ] をクリックします。 尋ねられます一覧に、1 つのシステムまたはシステムの範囲を追加するかどうか。
元に戻す画像を拡大する
Select Addition Type dialog box


IP を追加する 1 つのシステム アドレスまたは名前。 名前が追加される場合は PromqryUI クエリの開始] をクリックすると、名前を IP アドレスに解決しようとします。 名前が IP アドレスに解決する失敗すると、クエリが失敗します。
元に戻す画像を拡大する
Add System to Query dialog box


開始 IP アドレスを照会するシステムの一覧にシステムの範囲を追加すると、終了 IP より小さいがなければなりませんアドレス。
元に戻す画像を拡大する
Add Range of Systems to Query dialog box


システムを追加すると、各横のボックスまたはクエリを実行するシステムを選択する範囲を選択からクリックします。 システムと範囲が選択されていないはされません照会するクエリの開始] をクリックするとします。
元に戻す画像を拡大する
Select the systems you want to query


一覧に追加したすべてのシステムは PromqryUI、通常の方法で ( ファイル </a0>]、[終了 ] メニューの [項目を使用またはコントロール ボックスを使用して) 終了すると自動的に保存されます。 次 PromqryUI を起動する システムにクエリ の一覧は、システムと保存された範囲で作成されます自動的に。

使用して、[ 編集 ] </a0> メニューの [ping オプションと詳細なオプションを前に説明した設定します。
元に戻す画像を拡大する
Ping Before Query option and Verbose Output option


クエリ、選択したシステムを起動するクエリの開始ボタンをクリックします。 詳細モードで各インターフェイスが表示され、無作為検出モードで各インターフェイスは実行かどうか。

無作為検出モードで実行するインターフェイスが見つからない場合以下の図に表示されるメッセージのようなメッセージが表示されます。

元に戻す画像を拡大する
Query Result output dialog (no interfaces are found in Promiscuous mode)


無作為検出モードで実行するインターフェイスが見つかった場合以下の図に表示されているようなメッセージが表示されます。

元に戻す画像を拡大する
Query Result output dialog (an interface is found in Promiscuous mode)


PromqryUI (または Promqry)、無作為検出モードで実行されているインターフェイスを持っているホストを見つけると、PromqryUI では WMI クエリをそのホストを識別しやすく追加情報のホストを使用してください。 次は、このデータの例です。
コンピューター名: MYCOMPUTER
ドメイン: contoso.com
コンピューターの製造元: Dell コンピューターで
コンピューターのモデル: 精度ワークステーション 340
プライマリ所有者: 太郎山田
現在ログオンしているユーザー: contoso\user1
運用: Microsoft(R) Windows(R) Server 2003 Enterprise Edition
Contoso 社の企業の組織:
先頭へ戻る | フィードバック

プロパティ

文書番号: 892853 - 最終更新日: 2006年12月28日 - リビジョン: 1.4
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
キーワード:?
kbinfo kbnetworkmon kbnetwork kbmt KB892853 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:892853
(http://support.microsoft.com/kb/892853/en-us/ )
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る