Descrição do Promqry 1.0 e PromqryUI 1.0

Informações de fundo

Uma rede "sniffer" é o software e hardware foi concebido para recolher dados de fluxo através de uma rede. Os dados que recolhe um descodificador (sniffer) podem ser útil para vários fins, incluindo resolução de problemas, análise de tráfego de rede e questões de segurança. Este tipo de dados também pode ser utilizado para fins ilegítimos, incluindo o roubo de dados, palavra-passe descobrir chaves de segurança e mapeamento (reconnaissance) de rede. Este tipo de ataque à rede passivo pode ser difíceis de detectar.

Um sniffer de rede pode ser executado num de dois modos:

• Não o modo promíscuo
• O modo promíscuo

Descodificadores de rede não são executados em modo promíscuo normalmente recolhem dados da rede é destinada ao ou enviada do computador que esteja a executar o sniffer. Este tráfego pode incluir unicast, difusão e o tráfego de multicast.

O modo promíscuo é um estado no qual uma placa de rede copia todos os pacotes que passam através da rede para uma memória intermédia local, independentemente do endereço de destino. Este modo permite descodificadores de rede capturar todo o tráfego de rede na sub-rede local o sniffer ou rede local virtual (VLAN). Novamente, pode incluir este tráfego unicast, difusão e tráfego multicast. Pode configurar um parâmetro para limitar esta actividade para que o sniffer de rede pode recolher apenas os dados enviados de e para o computador está a executar o sniffer (por exemplo, a porta de comutador está ligado ao computador que está a executar o sniffer). Se tiver um computador interfaces de rede que estão em execução no modo promíscuo, um sniffer de rede podem estar em execução no computador.

Promqry e PromqryUI

Promqry e PromqryUI são duas ferramentas que detectam interfaces de rede que estiverem a executar em modo promíscuo. Promqry é uma ferramenta da linha de comandos e PromqryUI é uma ferramenta que tem uma interface gráfica de utilizador do Windows. Ambas as ferramentas têm a mesma funcionalidade básica. Com precisão podem determinar se um computador gerido tem interfaces de rede que estiverem a executar em modo promíscuo se o computador está a executar o Windows 2000 ou posterior. Estas ferramentas não consegue detectar sniffers autónomos ou descodificadores (sniffers) em execução em computadores não baseados no Microsoft Windows.

Como obter as ferramentas

Download the Promqry package now.

Download the PromqryUI package now.

Funcionalidades comuns

Tanto Promqry PromqryUI podem fazer o seguinte:

• Consultar interfaces de rede do computador local
• Consultar as interfaces de um único computador remoto
• Consultar um intervalo de interfaces de computadores remotos

Quando um intervalo de computadores é consultado, ambas as ferramentas irão efectuar o ping (utilizando o protocolo ICMP) a cada computador remoto no intervalo especificado. Se o ping falhar, por exemplo, se o computador remoto não está online ou está protegido por um firewall, interfaces de rede do computador não irão ser consultadas. Esta funcionalidade permite que ambas as ferramentas consultar o intervalo especificado mais rápido porque estas não irão despender tempo tentar consultar computadores inacessíveis. Esta funcionalidade ping pode ser desactivada para redes que filtrar ICMP, se for necessário.

Por predefinição, ambas as ferramentas fornecem saída verbosa. Saída verbosa pode ser alternada desactivado para que são fornecidos apenas dados de sumário.

Requisitos

• Ambas as ferramentas requerem o .NET Framework para executar. Por conseguinte, tem de ter o .NET Framework instalado no computador a partir do qual executar Promqry ou PromqryUI. No entanto, o .NET Framework não tem de ser instalado em computadores remotos que pretende consultar. Para mais informações sobre o .NET Framework, visite o seguinte Web site da Microsoft: http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  (http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx)
• Para utilizar qualquer uma destas ferramentas para consultar com êxito um computador, tem de executar as ferramentas no contexto de segurança de administrador no computador que está a consultar.
• Ambas as ferramentas utilize Windows Management Instrumentation (WMI) para computadores de consulta para obter informações quando é encontrada uma interface sejam executados no modo promíscuo. Por predefinição, o WMI está incluído no Windows 2000, Windows XP e Windows Server 2003.
  Para obter mais informações sobre WMI, visite o seguinte Web site da Microsoft: http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  (http://msdn2.microsoft.com/en-us/library/aa384642.aspx)
• Uma vez que Promqry e PromqryUI utilizam WMI (e DCOM), as ferramentas tem de ter acesso para várias portas TCP/UDP, incluindo a porta TCP 135, quando consulta a computadores remotos.
  Para informações sobre como ligar a computadores remotos através de um firewall utilizando o WMI, visite o seguinte Web site da Microsoft: http://msdn2.microsoft.com/en-us/library/aa389286.aspx
  (http://msdn2.microsoft.com/en-us/library/aa389286.aspx)

Limitações conhecidas

Promqry e PromqryUI têm algumas limitações, incluindo as seguintes limitações:

• As ferramentas não consegue detectar sniffers autónomos, por exemplo, tráfego de rede dispositivos fabricados com o objectivo exclusivo de intercepção. Estes dispositivos podem utilizar diferentes tipos de hardware e software.
• As ferramentas não consegue detectar descodificadores (sniffers) que executem sistemas operativos diferentes do Windows 2000, Windows XP, Windows Server 2003 e sistemas operativos posteriores.
• As ferramentas remotamente não consegue detectar descodificadores (sniffers) é executados em computadores baseados no Windows em que o hardware de rede foi modificado especificamente para evitar a detecção. Por exemplo, o hardware pode ser modificado para que a placa de rede ou um cabo de rede permite que o computador para receber tráfego a partir da rede, mas não para enviar tráfego para a rede. Neste cenário, o computador recebe uma consulta para determinar se tem interfaces que estiverem a executar em modo promíscuo, mas a resposta não efectua-lo novamente através da rede ao computador que enviou a consulta. No entanto, Promqry e PromqryUI podem ser utilizado para consultar estes computadores localmente, em vez de remotamente, para determinar se as interfaces estão a executar em modo promíscuo.

Notas sobre o Virtual PC e Virtual Server

Promqry e PromqryUI poderão indicar que a interface física está em execução em modo promíscuo no computador baseado no Windows com o Microsoft Virtual PC e/ou o Microsoft Virtual Server. Virtual PC e Virtual Server irão configurar interface física o anfitrião para ser executado no modo promíscuo.

Relatório Promqry e PromqryUI que está a ser executado interface do anfitrião de em modo promíscuo em qualquer uma das seguintes condições:

• Um computador ou servidor virtual está configurado para utilizar interface física o anfitrião. Por exemplo, o virtual PC ou o servidor está directamente ligado à rede do anfitrião em vez de ser configurado na própria rede local ou configurado para estar protegido por uma interface que está configurada para efectuar a conversão de endereços de rede (NAT).
• Uma aplicação como um sniffer de rede configurou interface de rede o computador anfitrião para ser executado no modo promíscuo. Quando o computador anfitrião consultado, comunica que uma das interfaces do computador anfitrião está a funcionar no modo promíscuo.

Relatório Promqry e PromqryUI que interface do anfitrião não está a utilizar em modo promíscuo nas seguintes condições:

• Um computador ou servidor virtual está configurado para utilizar a sua própria rede local ou está configurado para utilizar uma ligação partilhada à NAT. Por exemplo, o virtual PC ou o servidor não está configurado para utilizar a interface física do anfitrião. Das seguintes configurações, mesmo quando o computador ou servidor virtual com um sniffer de rede configura a interface para ser executado no modo promíscuo, Promqry e PromqryUI comunicar que a interface não está em execução em modo promíscuo. Apesar da interface do virtual PC ou o servidor está em execução no modo promíscuo, a interface só poderá pesquisar o tráfego de rede que é enviado de e para seu próprio endereço IP. Não será capaz de pesquisar o tráfego na sub-rede que está ligado à.

Utilização de Promqry 1.0

Promqry é uma ferramenta da linha de comandos que também pode ser utilizada em scripts. Promqry consulta computadores para interfaces que estiverem a executar em modo promíscuo.

Para consultar as interfaces de um computador local, execute o comando promqry.exe .

notas

• Devolve zero (0) se forem encontrados quaisquer interfaces sejam executados no modo promíscuo.
• Devolve 1 se não existem interfaces encontram sejam executados no modo promíscuo.
• Devolve 99 se for encontrado um erro.
• As opções de np e nv não são válidas para uma consulta local.

Para consultar as interfaces de um computador remoto, execute o promqry.exe remote_IP | remote_name [-nv]

notas

• Devolve zero (0) se forem encontrados quaisquer interfaces sejam executados no modo promíscuo.
• Devolve 1 se não existem interfaces encontram sejam executados no modo promíscuo.
• Devolve 99 se for encontrado um erro.
• A opção nv significa que existe sem saída verbosa. A opção apenas comunica erros e computadores com interfaces que estiverem a executar em modo promíscuo.

Para consultar um intervalo de interfaces de computadores remotos, execute o promqry.exe start_remote_IP:end_remote_IP [-np] [-nv] comandos.

notas

• O valor de start_remote_IP tem de ser inferior ao valor de end_remote_IP .
• NP significa que existe não ping antes da consulta.
• NP é válido apenas quando consultar um intervalo de computadores.
• NV significa que não existe nenhum resultado verboso. A opção apenas comunica erros e computadores com interfaces que estiverem a executar em modo promíscuo.

Utilização de PromqryUI 1.0

A interface PromqryUI tem dois painéis. Painel da esquerda lista os sistemas a consulta e o painel direito apresenta o resultado é gerado quando o botão START QUERY é clicado.


Para adicionar sistemas à lista de sistemas de consulta, clique em Adicionar . Será solicitado se pretende adicionar um sistema único ou uma variedade de sistemas à lista.


Sistemas só podem ser adicionados por IP endereço ou pelo nome. Se um nome é adicionado, PromqryUI tenta resolver o nome para um endereço IP quando clica no botão START QUERY. Se o nome não for resolvido para um endereço IP, a consulta falha.


Quando adiciona uma variedade de sistemas à lista de sistemas de consulta, o endereço IP início tem de ser inferior ao IP final endereço.


Depois de adicionar sistemas, clique para seleccionar a caixa junto a cada ou intervalo para seleccionar os sistemas que pretende consultar. Não irão ser consultados sistemas e intervalos que não estão seleccionados quando clica no botão START QUERY.


Qualquer sistema que tenha adicionado à lista serão automaticamente guardado quando sai PromqryUI no modo normal (utilizando o menu ficheiro, sair ou utilizando a caixa de controlo). Da próxima vez que inicia o PromqryUI, a lista de Sistemas A consulta é preenchida automaticamente com os sistemas e intervalos que foram guardados.

Pode utilizar o menu Editar para definir a opção de ping e a opção verbosa que foi descrito anteriormente.


Prima o botão QUERY START para iniciar consultar os sistemas seleccionados. Em modo verboso, cada interface é listado e se cada interface está a executar em modo promíscuo.

Se não existem interfaces forem encontrados sejam executados no modo promíscuo, receberá uma mensagem semelhante à mensagem apresentada no gráfico abaixo.



Se for encontrada uma interface sejam executados no modo promíscuo, receberá uma mensagem semelhante à apresentada no gráfico abaixo.



Quando PromqryUI (ou Promqry) localiza um anfitrião que tem uma interface que está a ser executado em modo promíscuo, PromqryUI utiliza WMI para consultar o anfitrião para obter informações adicionais para tornar mais fácil identificar esse anfitrião. Segue-se um exemplo de dados: