Promqry 1.0 和 1.0 PromqryUI 的说明

文章翻译 文章翻译
文章编号: 892853 - 查看本文应用于的产品
简介
本文介绍在两个工具,使您能够检测正在运行 Windows Server 2003、 Windows XP 或 Windows 2000 的计算机运行一个网络嗅探器。
展开全部 | 关闭全部

本文内容

概要

A 网络嗅探旨在收集在网络上传输的数据。对于包括故障排除、 网络流量分析,和安全目的的多种目的,数据也非常有用。但是,数据可用于这样的网络攻击的非法用途。本文介绍在 Promqry 和 PromqryUI 的两个工具允许您在 Microsoft Windows Server 2003、 Microsoft Windows XP,和 Microsoft Windows 2000 上运行的网络嗅探器检测到

Promqry 是一个命令行工具,也可以在脚本中使用。PromqryUI 是具有 Windows 图形用户界面的工具。这两种工具具有相同的基本功能:
  • 要查询本地计算机的网络接口
  • 要查询一台远程计算机的接口
  • 查询远程计算机的接口的区域
Promqry 和 PromqryUI 需要运行,Microsoft.net 框架,该工具必须在管理员的安全上下文下运行。此外,该工具将具有下列限制:
  • 它们不能检测到独立嗅探器。
  • 它们不能检测到 Microsoft Windows 2000 之前的操作系统上运行的嗅探器
  • 它们不能远程检测嗅探器在运行的 Windows 系统位置网络硬件已经过修改,特别是可以避免检测。
文章末尾系统将提供有关如何使用 Promqry 1.0 和 PromqryUI 1.0 的详细信息

更多信息

背景信息


网络"嗅测器"是软件和硬件来收集在网络上传输的数据而设计的。对于包括故障排除、 网络流量分析,和安全目的的许多用途,窃探器收集数据也非常有用。这种类型的数据还可用于包括密码破解,和网络映射 (侦测) 上的数据被窃取的非法用途。这种类型的被动的网络攻击可能很难检测到。

网络嗅探器可以在以下两种模式之一运行:
  • 无混杂模式
  • 混杂模式
不在中运行混杂模式通常的网络嗅探器从发往或来自运行嗅探器的计算机的网络中收集的数据。此通信流可能包括单播、 广播,和多址广播的通信。

混杂模式是一种状态的网络适配卡将复制到的目标地址而不考虑的本地缓冲区通过网络传递的所有图文框。此模式使网络嗅探器以捕获嗅探器的本地子网或 $ 虚拟局域网 (VLAN) 上的所有网络通信。再次,此通信流可能包括单播、 广播,和多址广播的通信。您可以配置一个开关,若要限制此活动,以便网络嗅探器可以收集到和运行嗅探器 (例如对于运行嗅探器的计算机已插入的交换机端口) 的计算机发送的数据。如果计算机有可能在计算机上正在运行中混杂模式,网络嗅探器运行的网络接口。

Promqry 和 PromqryUI


Promqry 和 PromqryUI 都是检测中混杂模式下运行的网络接口的两个工具。Promqry 是一个命令行工具和 PromqryUI 是一种工具,它具有 Windows 图形用户界面。这两种工具都有相同的基本功能。它们可以准确地确定一台受管理的计算机是否具有如果计算机运行 Windows 2000 或更高版本中混杂模式下运行的网络接口。独立嗅探器或嗅探器在非基于 Windows 的计算机上运行的不能检测到这些工具。

如何获取工具

收起这个图片展开这个图片
Download
Download the Promqry package now.

收起这个图片展开这个图片
Download
Download the PromqryUI package now.

常用的功能

Promqry 和 PromqryUI 可以执行以下操作:
  • 查询本地计算机的网络接口
  • 查询一台远程计算机的接口
  • 查询远程计算机的接口的区域
当查询的计算机范围时, 这两种工具将 ping (通过使用 ICMP 协议) 指定区域中的每台远程计算机。如果 ping 失败,例如对于如果远程计算机没有联机,或一个防火墙是计算机的网络接口将不进行查询。此功能允许查询指定的范围更快,因为它们不会花时间试图查询无法访问计算机的这两种工具。如果需要,可以对网络的筛选 ICMP,禁用此 ping 功能。

默认状态下,这两种工具提供详细输出。可以关闭切换详细输出,以便提供仅汇总数据。

要求

  • 这两种工具来运行需要.net 框架。 因此,您必须具有在运行 Promqry 或 PromqryUI 在计算机上安装.net 框架。但是,.net 框架没有安装在您希望查询在远程计算机上。有关.net 框架的详细信息,请访问下面的 Microsoft 网站: http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  • 要使用这两个工具中的任一个来成功查询的计算机,您必须要查询的计算机上运行管理员安全上下文工具。
  • 这两种工具使用 Windows 管理规范 (WMI) 查询计算机信息的接口发现在混杂模式下运行时。默认状态下,在 Windows 2000,Windows XP 和 Windows Server 2003 包含 WMI。
    有关 WMI 的详细信息,请访问下面的 Microsoft 网站: http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  • 因为 Promqry 和 $ PromqryUI 使用 WMI (和 DCOM),该工具必须能够访问包括 TCP 端口 135,它们查询远程计算机时的各种 TCP/UDP 端口。
    有关使用 WMI 来连接到远程计算机通过防火墙的信息,请访问下面的 Microsoft 网站: http://msdn2.microsoft.com/en-us/library/aa389286.aspx

已知的限制

Promqry 和 PromqryUI 有一些限制包括下列限制:
  • 该工具无法检测到独立的嗅探器,例如对于设备的探测仅仅是为了制造的网络通信。 这些设备可以使用不同类型的硬件和软件。
  • 该工具无法检测到的 Windows 2000、 Windows XP、 Windows Server 2003,和更高版本的 Windows 操作系统以外的操作系统上运行嗅探器。
  • 该工具不能远程检测嗅探器位置网络硬件已经过修改,特别是可以避免检测在基于 Windows 的计算机上运行的。例如对于硬件可能会被修改,以便网络接口卡或网络电缆连接允许计算机从网络,接收的通信,但不是能将流量发送到网络。在这种情况下在计算机收到一个查询,以确定它是否具有不规则的模式中运行的接口,但其响应不能使其重新通过网络发送查询的计算机。但是,Promqry 和 PromqryUI 可用于代替远程,查询本地,这些计算机,以确定是否在混杂模式下运行的接口。

Virtual PC 和虚拟服务器上的备注

Promqry 和 PromqryUI 可能会报告物理接口在混杂模式下运行,Microsoft Virtual PC 和/或 Microsoft 虚拟服务器正在运行的基于 Windows 的计算机上。虚拟 PC 和虚拟服务器将配置主机的物理接口在混杂模式下运行。

Promqry 和 PromqryUI 主机的接口在以下条件的任何一个中混杂模式下运行的报告:
  • 在虚拟计算机或服务器被配置为使用主机的物理接口。例如对于虚拟 PC 或服务器是直接连接到主机的网络,而不是正在配置其自己的本地网络上或配置为接口配置为执行网络地址转换 (NAT) 的后面。
  • 一个应用程序 (如网络嗅探器已配置为在混杂模式下运行的主机的网络接口。当查询在主机计算机时, 它会报告在混杂模式下运行时主机的接口中的一个。
Promqry 和 PromqryUI 主机的接口没有在以下情况下混杂模式下运行的报告:
  • 在虚拟计算机或服务器被配置为使用其自己的本地网络,或被配置为使用共享的 NAT 连接。例如对于虚拟 PC 或服务器未配置为使用主机的物理界面中。在其中一个这些配置中正在运行一个网络嗅探器的配置界面,以在混杂模式下,Promqry 运行虚拟 PC 或服务器和 PromqryUI 报告的即使接口不以运行混杂模式。尽管在混杂模式下运行虚拟 PC 或服务器的接口,接口将仅能监听网络通信被发送至或来自它自己的 IP 地址。它将不能监听连接到的子网上的所有通信。

Promqry 1.0 用法

Promqry 是一个命令行工具,也可以在脚本中使用。 Promqry 查询的接口中混杂模式下运行的计算机。

要查询本地计算机的接口,运行 promqry.exe 命令。

备注
  • 如果找到任何接口在混杂模式下运行,则返回零 (0)。
  • 如果没有找到接口在混杂模式下运行,请返回 1。
  • 如果遇到错误,则返回 99。
  • npnv 选项是为本地查询无效。
若要查询远程计算机的接口,运行在 promqry.exe remote_IP | remote_name [-nv]

备注
  • 如果找到任何接口在混杂模式下运行,则返回零 (0)。
  • 如果没有找到接口在混杂模式下运行,请返回 1。
  • 如果遇到错误,则返回 99。
  • nv 选项意味着没有详细输出。该选项只报告错误和 $ 与接口中混杂模式下运行的计算机。
要查询的远程计算机的接口的区域,运行在 promqry.exe start_remote_IP:end_remote_IP [-np] [-nv] 命令。

备注
  • start_remote_IP 的值必须低于 end_remote_IP 的值。
  • np 意味着该查询前的没有 ping。
  • 仅当查询的计算机的区域时,np 才有效。
  • nv 意味着没有详细输出。该选项只报告错误和 $ 与接口中混杂模式下运行的计算机。

PromqryUI 1.0 用法

PromqryUI 接口有两个窗格。在左的窗格列出了查询,系统,并在右窗格显示时单击 START 查询按钮时生成的输出。
收起这个图片展开这个图片
PromqryUI main window


若要添加到列表中的查询的系统的系统,单击 添加。将会询问您是否要将添加到列表中一个单独的系统的范围。
收起这个图片展开这个图片
Select
		  Addition Type dialog box


可以将单个系统添加 ip 地址或名称。如果添加一个名称,则 PromqryUI 试图将名称解析为 IP 地址,当您单击 START 查询按钮。如果名称不能解析为 IP 地址,则查询将会失败。
收起这个图片展开这个图片
Add System to Query dialog
		  box


如果要查询的系统的列表中添加的系统范围,开始 IP 地址必须是小于结束 IP 地址。
收起这个图片展开这个图片
Add
		  Range of Systems to Query dialog box


添加系统后,单击以选中旁边的框或选择所要查询的系统的区域。系统和未选定的范围将不进行查询时您单击 START 查询按钮。
收起这个图片展开这个图片
Select the systems you want to
		  query


当 (通过使用 文件和退出 菜单项或通过使用控制框中) 按常规方式退出 PromqryUI 时,已添加到列表中的所有系统将自动都保存。下次启动 PromqryUI,系统到查询 列表将自动填充与系统和已保存的区域。

可以使用 编辑 菜单设置 ping 选项和前面描述的详细选项。
收起这个图片展开这个图片
Ping Before Query option and
		  Verbose Output option


请按 START 查询按钮,开始查询选定的系统。详细的模式中列出每个接口,是否每个接口混杂模式运行。

如果没有找到接口在混杂模式下运行,您将收到一条消息类似于下图中显示该消息。

收起这个图片展开这个图片
Query
		  Result output dialog (no interfaces are found in Promiscuous
		  mode)


如果接口发现在混杂模式下运行,您将收到类似于下图中显示一条消息。

收起这个图片展开这个图片
Query
		  Result output dialog (an interface is found in Promiscuous
		  mode)


当 PromqryUI (或 Promqry) 发现有一个正在混杂模式下运行的接口的主机时,PromqryUI 使用 WMI 查询的其他信息以使其更容易识别该主机在主机。以下是此数据的示例:
计算机名称: MYCOMPUTER
域: contoso.com
计算机制造商联系: Dell 计算机公司
计算机型号: 精度工作站 340
主要的所有者: John Smith
当前登录的用户: contoso\user1
操作: Microsoft(R) Windows(R) Server 2003,企业版
组织: Contoso 公司

属性

文章编号: 892853 - 最后修改: 2006年12月28日 - 修订: 1.4
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
关键字:?
kbmt kbnetworkmon kbnetwork kbinfo KB892853 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 892853
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com