Descrição do Promqry 1.0 e PromqryUI 1.0

Traduções de Artigos Traduções de Artigos
Artigo: 892853 - Ver produtos para os quais este artigo se aplica.
INTRODUÇÃO
Este artigo apresenta duas ferramentas permitem-lhe detectar um sniffer de rede em execução no computador que está a executar o Windows Server 2003, Windows XP ou Windows 2000.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

A rede "sniffer" foi concebido para recolher dados de fluxo através de uma rede. Os dados podem ser úteis para vários fins, incluindo resolução de problemas, análise de tráfego de rede e questões de segurança. No entanto, os dados podem ser utilizados para fins ilegítimos, tais como ataque de rede. Este artigo apresenta duas ferramentas, Promqry e PromqryUI, que permitem-lhe detectar descodificadores de rede com o Microsoft Windows Server 2003, no Microsoft Windows XP e Microsoft Windows 2000.

Promqry é uma ferramenta da linha de comandos que também pode ser utilizada em scripts. PromqryUI é uma ferramenta que tem uma interface gráfica de utilizador do Windows. Ambas as ferramentas têm a mesma funcionalidade básica:
  • para consultar as interfaces de rede do computador local
  • para consultar as interfaces de um único computador remoto
  • para consultar um intervalo de interfaces de computadores remotos
Promqry e PromqryUI requerem o Microsoft .NET Framework executar e as ferramentas tem executado no contexto de segurança do administrador. Além disso, as ferramentas de têm as seguintes limitações:
  • não consegue detectar descodificadores (sniffers) autónomo.
  • não consegue detectar descodificadores (sniffers) que executem sistemas operativos anteriores ao Microsoft Windows 2000.
  • não é possível remotamente detectarem descodificadores (sniffers) que estejam a executar no Windows sistemas onde o hardware de rede foi modificado especificamente para evitar a detecção.
no fim deste artigo, é apresentada com detalhes sobre como utilizar Promqry 1.0 e 1.0 PromqryUI.

Mais Informação

Informações de fundo


Uma rede "sniffer" é o software e hardware foi concebido para recolher dados de fluxo através de uma rede. Os dados que recolhe um descodificador (sniffer) podem ser útil para vários fins, incluindo resolução de problemas, análise de tráfego de rede e questões de segurança. Este tipo de dados também pode ser utilizado para fins ilegítimos, incluindo o roubo de dados, palavra-passe descobrir chaves de segurança e mapeamento (reconnaissance) de rede. Este tipo de ataque à rede passivo pode ser difíceis de detectar.

Um sniffer de rede pode ser executado num de dois modos:
  • Não o modo promíscuo
  • O modo promíscuo
Descodificadores de rede não são executados em modo promíscuo normalmente recolhem dados da rede é destinada ao ou enviada do computador que esteja a executar o sniffer. Este tráfego pode incluir unicast, difusão e o tráfego de multicast.

O modo promíscuo é um estado no qual uma placa de rede copia todos os pacotes que passam através da rede para uma memória intermédia local, independentemente do endereço de destino. Este modo permite descodificadores de rede capturar todo o tráfego de rede na sub-rede local o sniffer ou rede local virtual (VLAN). Novamente, pode incluir este tráfego unicast, difusão e tráfego multicast. Pode configurar um parâmetro para limitar esta actividade para que o sniffer de rede pode recolher apenas os dados enviados de e para o computador está a executar o sniffer (por exemplo, a porta de comutador está ligado ao computador que está a executar o sniffer). Se tiver um computador interfaces de rede que estão em execução no modo promíscuo, um sniffer de rede podem estar em execução no computador.

Promqry e PromqryUI


Promqry e PromqryUI são duas ferramentas que detectam interfaces de rede que estiverem a executar em modo promíscuo. Promqry é uma ferramenta da linha de comandos e PromqryUI é uma ferramenta que tem uma interface gráfica de utilizador do Windows. Ambas as ferramentas têm a mesma funcionalidade básica. Com precisão podem determinar se um computador gerido tem interfaces de rede que estiverem a executar em modo promíscuo se o computador está a executar o Windows 2000 ou posterior. Estas ferramentas não consegue detectar sniffers autónomos ou descodificadores (sniffers) em execução em computadores não baseados no Microsoft Windows.

Como obter as ferramentas

Reduzir esta imagemExpandir esta imagem
Download
Download the Promqry package now.

Reduzir esta imagemExpandir esta imagem
Download
Download the PromqryUI package now.

Funcionalidades comuns

Tanto Promqry PromqryUI podem fazer o seguinte:
  • Consultar interfaces de rede do computador local
  • Consultar as interfaces de um único computador remoto
  • Consultar um intervalo de interfaces de computadores remotos
Quando um intervalo de computadores é consultado, ambas as ferramentas irão efectuar o ping (utilizando o protocolo ICMP) a cada computador remoto no intervalo especificado. Se o ping falhar, por exemplo, se o computador remoto não está online ou está protegido por um firewall, interfaces de rede do computador não irão ser consultadas. Esta funcionalidade permite que ambas as ferramentas consultar o intervalo especificado mais rápido porque estas não irão despender tempo tentar consultar computadores inacessíveis. Esta funcionalidade ping pode ser desactivada para redes que filtrar ICMP, se for necessário.

Por predefinição, ambas as ferramentas fornecem saída verbosa. Saída verbosa pode ser alternada desactivado para que são fornecidos apenas dados de sumário.

Requisitos

  • Ambas as ferramentas requerem o .NET Framework para executar. Por conseguinte, tem de ter o .NET Framework instalado no computador a partir do qual executar Promqry ou PromqryUI. No entanto, o .NET Framework não tem de ser instalado em computadores remotos que pretende consultar. Para mais informações sobre o .NET Framework, visite o seguinte Web site da Microsoft: http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  • Para utilizar qualquer uma destas ferramentas para consultar com êxito um computador, tem de executar as ferramentas no contexto de segurança de administrador no computador que está a consultar.
  • Ambas as ferramentas utilize Windows Management Instrumentation (WMI) para computadores de consulta para obter informações quando é encontrada uma interface sejam executados no modo promíscuo. Por predefinição, o WMI está incluído no Windows 2000, Windows XP e Windows Server 2003.
    Para obter mais informações sobre WMI, visite o seguinte Web site da Microsoft: http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  • Uma vez que Promqry e PromqryUI utilizam WMI (e DCOM), as ferramentas tem de ter acesso para várias portas TCP/UDP, incluindo a porta TCP 135, quando consulta a computadores remotos.
    Para informações sobre como ligar a computadores remotos através de um firewall utilizando o WMI, visite o seguinte Web site da Microsoft: http://msdn2.microsoft.com/en-us/library/aa389286.aspx

Limitações conhecidas

Promqry e PromqryUI têm algumas limitações, incluindo as seguintes limitações:
  • As ferramentas não consegue detectar sniffers autónomos, por exemplo, tráfego de rede dispositivos fabricados com o objectivo exclusivo de intercepção. Estes dispositivos podem utilizar diferentes tipos de hardware e software.
  • As ferramentas não consegue detectar descodificadores (sniffers) que executem sistemas operativos diferentes do Windows 2000, Windows XP, Windows Server 2003 e sistemas operativos posteriores.
  • As ferramentas remotamente não consegue detectar descodificadores (sniffers) é executados em computadores baseados no Windows em que o hardware de rede foi modificado especificamente para evitar a detecção. Por exemplo, o hardware pode ser modificado para que a placa de rede ou um cabo de rede permite que o computador para receber tráfego a partir da rede, mas não para enviar tráfego para a rede. Neste cenário, o computador recebe uma consulta para determinar se tem interfaces que estiverem a executar em modo promíscuo, mas a resposta não efectua-lo novamente através da rede ao computador que enviou a consulta. No entanto, Promqry e PromqryUI podem ser utilizado para consultar estes computadores localmente, em vez de remotamente, para determinar se as interfaces estão a executar em modo promíscuo.

Notas sobre o Virtual PC e Virtual Server

Promqry e PromqryUI poderão indicar que a interface física está em execução em modo promíscuo no computador baseado no Windows com o Microsoft Virtual PC e/ou o Microsoft Virtual Server. Virtual PC e Virtual Server irão configurar interface física o anfitrião para ser executado no modo promíscuo.

Relatório Promqry e PromqryUI que está a ser executado interface do anfitrião de em modo promíscuo em qualquer uma das seguintes condições:
  • Um computador ou servidor virtual está configurado para utilizar interface física o anfitrião. Por exemplo, o virtual PC ou o servidor está directamente ligado à rede do anfitrião em vez de ser configurado na própria rede local ou configurado para estar protegido por uma interface que está configurada para efectuar a conversão de endereços de rede (NAT).
  • Uma aplicação como um sniffer de rede configurou interface de rede o computador anfitrião para ser executado no modo promíscuo. Quando o computador anfitrião consultado, comunica que uma das interfaces do computador anfitrião está a funcionar no modo promíscuo.
Relatório Promqry e PromqryUI que interface do anfitrião não está a utilizar em modo promíscuo nas seguintes condições:
  • Um computador ou servidor virtual está configurado para utilizar a sua própria rede local ou está configurado para utilizar uma ligação partilhada à NAT. Por exemplo, o virtual PC ou o servidor não está configurado para utilizar a interface física do anfitrião. Das seguintes configurações, mesmo quando o computador ou servidor virtual com um sniffer de rede configura a interface para ser executado no modo promíscuo, Promqry e PromqryUI comunicar que a interface não está em execução em modo promíscuo. Apesar da interface do virtual PC ou o servidor está em execução no modo promíscuo, a interface só poderá pesquisar o tráfego de rede que é enviado de e para seu próprio endereço IP. Não será capaz de pesquisar o tráfego na sub-rede que está ligado à.

Utilização de Promqry 1.0

Promqry é uma ferramenta da linha de comandos que também pode ser utilizada em scripts. Promqry consulta computadores para interfaces que estiverem a executar em modo promíscuo.

Para consultar as interfaces de um computador local, execute o comando promqry.exe .

notas
  • Devolve zero (0) se forem encontrados quaisquer interfaces sejam executados no modo promíscuo.
  • Devolve 1 se não existem interfaces encontram sejam executados no modo promíscuo.
  • Devolve 99 se for encontrado um erro.
  • As opções de np e nv não são válidas para uma consulta local.
Para consultar as interfaces de um computador remoto, execute o promqry.exe remote_IP | remote_name [-nv]

notas
  • Devolve zero (0) se forem encontrados quaisquer interfaces sejam executados no modo promíscuo.
  • Devolve 1 se não existem interfaces encontram sejam executados no modo promíscuo.
  • Devolve 99 se for encontrado um erro.
  • A opção nv significa que existe sem saída verbosa. A opção apenas comunica erros e computadores com interfaces que estiverem a executar em modo promíscuo.
Para consultar um intervalo de interfaces de computadores remotos, execute o promqry.exe start_remote_IP:end_remote_IP [-np] [-nv] comandos.

notas
  • O valor de start_remote_IP tem de ser inferior ao valor de end_remote_IP .
  • NP significa que existe não ping antes da consulta.
  • NP é válido apenas quando consultar um intervalo de computadores.
  • NV significa que não existe nenhum resultado verboso. A opção apenas comunica erros e computadores com interfaces que estiverem a executar em modo promíscuo.

Utilização de PromqryUI 1.0

A interface PromqryUI tem dois painéis. Painel da esquerda lista os sistemas a consulta e o painel direito apresenta o resultado é gerado quando o botão START QUERY é clicado.
Reduzir esta imagemExpandir esta imagem
PromqryUI main window


Para adicionar sistemas à lista de sistemas de consulta, clique em Adicionar . Será solicitado se pretende adicionar um sistema único ou uma variedade de sistemas à lista.
Reduzir esta imagemExpandir esta imagem
Select
		  Addition Type dialog box


Sistemas só podem ser adicionados por IP endereço ou pelo nome. Se um nome é adicionado, PromqryUI tenta resolver o nome para um endereço IP quando clica no botão START QUERY. Se o nome não for resolvido para um endereço IP, a consulta falha.
Reduzir esta imagemExpandir esta imagem
Add System to Query dialog
		  box


Quando adiciona uma variedade de sistemas à lista de sistemas de consulta, o endereço IP início tem de ser inferior ao IP final endereço.
Reduzir esta imagemExpandir esta imagem
Add
		  Range of Systems to Query dialog box


Depois de adicionar sistemas, clique para seleccionar a caixa junto a cada ou intervalo para seleccionar os sistemas que pretende consultar. Não irão ser consultados sistemas e intervalos que não estão seleccionados quando clica no botão START QUERY.
Reduzir esta imagemExpandir esta imagem
Select the systems you want to
		  query


Qualquer sistema que tenha adicionado à lista serão automaticamente guardado quando sai PromqryUI no modo normal (utilizando o menu ficheiro, sair ou utilizando a caixa de controlo). Da próxima vez que inicia o PromqryUI, a lista de Sistemas A consulta é preenchida automaticamente com os sistemas e intervalos que foram guardados.

Pode utilizar o menu Editar para definir a opção de ping e a opção verbosa que foi descrito anteriormente.
Reduzir esta imagemExpandir esta imagem
Ping Before Query option and
		  Verbose Output option


Prima o botão QUERY START para iniciar consultar os sistemas seleccionados. Em modo verboso, cada interface é listado e se cada interface está a executar em modo promíscuo.

Se não existem interfaces forem encontrados sejam executados no modo promíscuo, receberá uma mensagem semelhante à mensagem apresentada no gráfico abaixo.

Reduzir esta imagemExpandir esta imagem
Query
		  Result output dialog (no interfaces are found in Promiscuous
		  mode)


Se for encontrada uma interface sejam executados no modo promíscuo, receberá uma mensagem semelhante à apresentada no gráfico abaixo.

Reduzir esta imagemExpandir esta imagem
Query
		  Result output dialog (an interface is found in Promiscuous
		  mode)


Quando PromqryUI (ou Promqry) localiza um anfitrião que tem uma interface que está a ser executado em modo promíscuo, PromqryUI utiliza WMI para consultar o anfitrião para obter informações adicionais para tornar mais fácil identificar esse anfitrião. Segue-se um exemplo de dados:
Nome do computador: OMEUCOMPUTADOR
Domínio: contoso.com
Fabricante do computador: Dell Computer Corporation
Modelo do computador: estação de trabalho de precisão 340
Proprietário primário: João Silva
Utilizador com sessão iniciada no: contoso\user1
Operativo: Microsoft (r) Windows (r) Server 2003, Enterprise Edition
Organização: Contoso Corp.

Propriedades

Artigo: 892853 - Última revisão: 28 de dezembro de 2006 - Revisão: 1.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
Palavras-chave: 
kbmt kbnetworkmon kbnetwork kbinfo KB892853 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 892853

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com