Descrição do Promqry 1.0 e PromqryUI 1.0

Traduções deste artigo Traduções deste artigo
ID do artigo: 892853 - Exibir os produtos aos quais esse artigo se aplica.
INTRODUÇÃO
Este artigo apresenta duas ferramentas que permitem a detecção de um sniffer de rede em execução em um computador com Windows Server 2003, Windows XP ou Windows 2000.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Um "sniffer" de rede é criado para obter os dados que passam por uma rede. Os dados podem ser úteis para muitos propósitos, incluindo solução de problemas, análise do tráfego de rede e fins de segurança. No entanto, eles também podem ser usados para fins ilegítimos, como um ataque de rede. Este artigo apresenta duas ferramentas, Promqry e PromqryUI, que permitem a detecção de snfiffers de rede em execução no Microsoft Windows Server 2003, no Microsoft Windows XP e no Microsoft Windows 2000.

Promqry é uma ferramenta de linha de comando que também pode ser usada em scripts. Já PromqryUI é uma ferramenta com interface visual do Windows. Ambas possuem a mesma funcionalidade básica:
  • Consultar interfaces de rede do computador local
  • Consultar interfaces de um único computador remoto
  • Consultar um intervalo de interfaces do computador remoto
Para executar Promqry e PromqryUI, é necessário ter o Microsoft .NET Framework instalado e as ferramentas devem ser executadas no contexto de segurança do Administrador. Além disso, as ferramentas têm as seguintes limitações:
  • Elas não conseguem detectar sniffers autônomos.
  • Elas não conseguem detectar sniffers em execução em sistemas operacionais anteriores ao Microsoft Windows 2000.
  • Elas não conseguem detectar remotamente sniffers em execução em sistemas Windows em que o hardware de rede foi modificado especificamente para impedir a detecção.
Ao final do artigo, serão apresentados os detalhes sobre como usar Promqry 1.0 e PromqryUI 1.0.

Mais Informações

Informações sobre o plano de fundo


"Sniffer" de rede é um software ou hardware criado para obter os dados que passam por uma rede. Os dados obtidos por um sniffer podem ser úteis para muitos propósitos, incluindo solução de problemas, análise do tráfego de rede e fins de segurança. Esse tipo de dados também pode ser usado com fins ilegítimos, incluindo o roubo de dados, quebras de senha e mapeamento de rede (reconhecimento). Esse tipo de ataque de rede passivo pode ser difícil de detectar.

Um sniffer de rede pode ser executado em um dos modos:
  • Modo não-promíscuo
  • Modo promíscuo
Sniffers de rede não executados no modo promíscuo normalmente obtêm os dados da rede à qual são destinados ou enviados a partir do computador com o sniffer em execução. Esse tráfego pode incluir difusões, difusões ponto a ponto e difusões seletivas.

O modo promíscuo é um estado em que a placa do adaptador de rede copia todos os quadros que passam pela rede para um buffer local, independentemente do endereço de destino. Esse modo permite que os sniffers de rede capturem todo o tráfego de rede na sub-rede local do sniffer ou na rede local virtual (VLAN). Mais uma vez, esse tráfego pode incluir difusões, difusões ponto a ponto e difusões seletivas. É possível configurar um switch para limitar essa atividade de forma que o sniffer de rede possa obter apenas os dados enviados para e a partir do computador em que está sendo executado (por exemplo, a porta do switch do computador em que o sniffer está em execução). Se um computador tiver interfaces de rede em execução no modo promíscuo, é possível que haja um sniffer de rede em execução no computador.

Promqry e PromqryUI


Promqry e PromqryUI são duas ferramentas que detectam interfaces de rede em execução no modo promíscuo. Promqry é uma ferramenta de linha de comando e PromqryUI, uma ferramenta com interface visual do Windows. Ambas possuem a mesma funcionalidade básica. Elas são capazes de determinar com precisão se um computador gerenciado possui interfaces de rede em execução no modo promíscuo caso ele esteja executando o Windows 2000 ou uma versão posterior. Essas ferramentas não detectam sniffers autônomos ou que estejam em execução em computadores sem o Microsoft Windows.

Como obter as ferramentas (em inglês)

Recolher esta imagemExpandir esta imagem
Download
Baixe a ferramenta Promqry agora.

Recolher esta imagemExpandir esta imagem
Download
Baixe a ferramenta PromqryUI agora.

Recursos comuns

Tanto Promqry quanto PromqryUI podem fazer o seguinte:
  • Consultar interfaces de rede do computador local
  • Consultar interfaces de um único computador remoto
  • Consultar um intervalo de interfaces do computador remoto
Quando um intervalo de computadores for consultado, ambas as ferramentas farão um ping (usando o protocolo ICMP) em todos os computadores remotos nesse intervalo específico. Se o ping falhar, por exemplo, caso o computador remoto não esteja online ou esteja atrás de um firewall, as interfaces de rede do computador não serão consultadas. Esse recurso permite que ambas as ferramentas consultem o intervalo especificado mais rapidamente porque elas não perderão tempo tentando consultar computadores inacessíveis. O recurso ping pode ser desativado para redes que filtrem ICMP, se necessário.

Por padrão, ambas as ferramentas oferecem saída detalhada. A saída detalhada pode ser desativada para que apenas os dados de resumo sejam fornecidos.

Requisitos

  • Ambas as ferramentas exigem o .NET Framework para serem executadas. Por isso, é necessário ter o .NET Framework instalado no computador em que Promqry ou PromqryUI são executadas. No entanto, o .NET Framework não precisa estar instalado nos computadores remotos a serem consultados. Para obter informações adicionais sobre o .NET Framework, visite o seguinte site da Microsoft (em inglês): http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  • Para usar uma das ferramentas e consultar um computador com sucesso, é necessário executar as ferramentas no contexto de segurança de um administrador no computador que está sendo consultado.
  • Ambas as ferramentas usam o WMI (instrumentação de gerenciamento do Windows) para consultarem computadores a respeito de informações quando uma interface é localizada em execução no modo promíscuo. Por padrão, o WMI está no Windows 2000, Windows XP e Windows Server 2003.
    Para obter informações adicionais sobre o WMI, visite o seguinte site da Microsoft (em inglês):http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  • Como Promqry e PromqryUI usam o WMI (e DCOM), as ferramentas devem ter acesso a várias portas TCP/UDP, incluindo a porta TCP 135, ao consultarem computadores remotos.
    Para obter informações adicionais sobre como se conectar a computadores remotos por meio de um firewall usando o WMI, visite o seguinte site da Microsoft (em inglês): http://msdn2.microsoft.com/en-us/library/aa389286.aspx

Limitações conhecidas

Promqry e PromqryUI têm algumas limitações, incluindo as seguintes:
  • As ferramentas não podem detectar sniffers autônomos, por exemplo, dispositivos fabricados com o único objetivo de detectar o tráfego de rede. Esses dispositivos podem usar tipos diferentes de hardware e software.
  • As ferramentas não podem detectar sniffers em execução em sistemas operacionais que sejam Windows 2000, Windows XP, Windows Server 2003 e sistemas Windows posteriores.
  • Elas não conseguem detectar remotamente sniffers em execução em sistemas Windows em que o hardware de rede foi modificado especificamente para impedir a detecção. Por exemplo, o hardware pode ser modificado para que a placa de interface ou o cabo de rede permitam que o computador receba tráfego da rede, mas não envie tráfego para ela. Nessa situação, o computador recebe uma consulta para determinar se possui interfaces em execução no modo promíscuo, mas sua resposta não retorna pela rede ao computador que fez a consulta. Porém, Promqry e PromqryUI podem ser usadas para consultar esses computadores local, e não remotamente, com o objetivo de determinar se as interfaces estão em execução no modo promíscuo.

Observações no Virtual PC e Virtual Server

Promqry e PromqryUI podem relatar a execução da interface física no modo promíscuo em um computador com Windows que seteja executando o Microsoft Virtual PC e/ou o Microsoft Virtual Server. O Virtual PC e o Virtual Server configurarão a interface física do host para ser executada no modo promíscuo.

Promqry e PromqryUI relatam que a interface do host está em execução no modo promíscuo em alguma das seguintes condições:
  • Um PC ou servidor virtual está configurado para usar a interface física do host. Por exemplo, o PC ou servidor virtual está diretamente conectado à rede do host, e não está configurado em sua própria rede local ou atrás de uma interface configurada para realizar a Conversão de endereços de rede (NAT).
  • Um aplicativo como um sniffer de rede configurou a interface de rede do computador host para ser executada no modo promíscuo. Ao ser consultado, o computador host relata que uma de suas interfaces está em execução no modo promíscuo.
Promqry e PromqryUI relatam que a interface do host não está em execução no modo promíscuo nas seguintes condições:
  • Um PC ou servidor virtual está configurado para usar sua própria rede local ou uma conexão NAT compartilhada. Por exemplo, o PC ou servidor virtual não está configurado para usar a interface física do host. Em uma dessas configurações, mesmo quando o PC ou servidor virtual estiver executando um sniffer de rede que configura a interface para ser executada no modo promíscuo, Promqry e PromqryUI relatam que a interface não está sendo executada no modo promíscuo. Embora a interface do PC ou servidor virtual esteja em execução no modo promíscuo, ela só poderá detectar o tráfego da rede enviado de e a partir de seu próprio endereço IP. Ela não poderá detectar todo o tráfego na sub-rede à qual está conectada.

Uso do Promqry 1.0

Promqry é uma ferramenta de linha de comando que também pode ser usada em scripts. Ela consulta computadores a respeito de interfaces em execução no modo promíscuo.

Para consultar interfaces de um computador local, execute o comando promqry.exe.

Observações
  • Retorna zero (0) caso nenhuma interface seja localizada em execução no modo promíscuo.
  • Retorna 1 caso nenhuma interface seja localizada em execução no modo promíscuo.
  • Retorna 99 se um erro for encontrado.
  • As opções np e nv não são válidas para uma consulta local.
Para consultar as interfaces de um computador remoto, execute promqry.exe remote_IP | remote_name [-nv]

Observações
  • Retorna zero (0) caso nenhuma interface seja localizada em execução no modo promíscuo.
  • Retorna 1 caso nenhuma interface seja localizada em execução no modo promíscuo.
  • Retorna 99 se um erro for encontrado.
  • A opção nv significa que não há saída detalhada. A opção apenas relata os erros e os computadores com interfaces em execução no modo promíscuo.
Para consultar um intervalo de interfaces de computadores remotoso, execute o comando promqry.exe start_remote_IP:end_remote_IP [-np] [-nv] .

Observações
  • O valor de start_remote_IP deve ser inferior ao valor de end_remote_IP.
  • np significa que não houve ping antes da consulta.
  • np é válido apenas ao consultar um intervalo de computadores.
  • nv significa que não há saída detalhada. A opção apenas relata os erros e os computadores com interfaces em execução no modo promíscuo.

Uso do PromqryUI 1.0

A interface de PromqryUI possui dois painéis. O painel à esquerda relaciona os sistemas a serem consultados e o painel à direita, a saída gerada ao clicar no botão START QUERY.
Recolher esta imagemExpandir esta imagem
Janela principal de
		  PromqryUI


Para adicionar sistemas à lista de sistemas a serem consultados, clique em Add (Adicionar). Você será perguntado se deseja adicionar um único sistema ou um intervalo de sistemas à lista.
Recolher esta imagemExpandir esta imagem
Caixa de
		  diálogo Select Addition Type


É possível adicionar sistemas por endereço IP ou por nome. Se um nome for adicionado, PromqryUI tenta determinar o nome para um endereço IP ao clicar no botão START QUERY. Se não for possível determinar o nome para um endereço IP, a consulta falhará.
Recolher esta imagemExpandir esta imagem
Caixa de diálogo
		  Add System to Query


Ao adicionar um intervalo de sistemas à lista de sistemas a serem consultados, o endereço IP inicial deve ser inferior ao endereço IP final.
Recolher esta imagemExpandir esta imagem
Caixa de diálogo Add Range of Systems to
		  Query


Após adicionar sistemas, clique na caixa de seleção próxima a cada um deles ou ao intervalo para selecionar os sistemas a serem consultados. Os sistemas e intervalos não selecionados não serão consultados ao clicar no botão START QUERY.
Recolher esta imagemExpandir esta imagem
Selecione os sistemas a serem
		  consultados.


Todos os sistemas adicionados à lista serão automaticamente salvos ao sair do PromqryUI da forma normal (usando os itens de menu File, Exit ou a caixa de controle). Na próxima vez em que iniciar o PromqryUI, a lista Systems To Query será preenchida automaticamente com os sistemas e intervalos salvos.

É possível usar o menu Edit para definir as opções de ping e detalhamento descritas anteriormente.
Recolher esta imagemExpandir esta imagem
Opções Ping Before Query e Verbose
		  Output


Pressione o botão START QUERY para iniciar a consulta aos sistemas selecionados. No modo detalhado, todas as interfaces são listadas e se elas estão sendo executadas no modo promíscuo.

Se não houver interfaces em execução no modo promíscuo, uma mensagem de erro similar à mensagem de erro exibida no gráfico abaixo será exibida.

Recolher esta imagemExpandir esta imagem
Caixa de diálogo Query Result
		  (nenhuma interface localizada no modo promíscuo)


Se houver uma interface em execução no modo promíscuo, uma mensagem de erro similar à mensagem de erro exibida no gráfico abaixo será exibida.

Recolher esta imagemExpandir esta imagem
Caixa de diálogo Query Result
		  (uma interface localizada no modo promíscuo)


Quando PromqryUI (ou Promqry) localiza um host com interface em execução no modo promíscuo, PromqryUI usa o WMI para consultar o host a respeito de informações adicionais com o objetivo de facilitar a identificação desse host. Este é um exemplo desses dados:
Computer name: MEUCOMPUTADOR
Domínio: contoso.com
Computer manufacturer: Dell Computer Corporation
Computer model: Precision WorkStation 340
Primary owner: John Smith
User currently logged on: contoso\user1
Operating : Microsoft(R) Windows(R) Server 2003, Enterprise Edition
Organization: Contoso Corp.

Propriedades

ID do artigo: 892853 - Última revisão: quinta-feira, 28 de dezembro de 2006 - Revisão: 1.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Palavras-chave: 
kbinfo kbnetworkmon kbnetwork KB892853

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com