Promqry 1.0 和 PromqryUI 1.0 的描述

文章翻譯 文章翻譯
文章編號: 892853 - 檢視此文章適用的產品。
簡介
本文介紹兩種工具,讓您偵測網路竊聽程式在執行 Windows Server 2003,Windows XP 或 Windows 2000 的電腦上執行的。
全部展開 | 全部摺疊

在此頁中

結論

A 網路 「 通天鼻 」 是設計用來收集在網路上流動的資料。包括疑難排解、 網路流量分析及安全性用途的許多用途,資料會很有用的。不過,資料可用於不合法的用途如網路攻擊。本文介紹 Promqry 和 PromqryUI 的兩種工具,讓您偵測正在執行 Microsoft Windows Server 2003 上、 Microsoft Windows XP 以及 Microsoft Windows 2000 的網路 sniffers

Promqry 是一個命令列工具,也可以用指令碼中。PromqryUI 是一種工具,有 Windows 圖形化使用者介面。這兩個工具有相同的基本功能:
  • 若要查詢本機電腦的網路介面
  • 若要查詢一台遠端電腦的介面
  • 若要查詢的遠端電腦介面範圍
Promqry 和 PromqryUI 需要 Microsoft.NET Framework 執行,並且工具必須在系統管理員的安全性內容下執行。此外,這些工具有下列限制:
  • 它們無法偵測獨立 sniffers。
  • 它們無法偵測到 Microsoft Windows 2000 之前的作業系統執行的 sniffers
  • 它們不能從遠端偵測的 sniffers,在 Windows 執行的系統其中網路硬體已被修改專門用來避免偵測。
本文結尾您提供了如何使用 Promqry 1.0 和 PromqryUI 1.0 的詳細資訊

其他相關資訊

背景資訊


網路 Sniffer 」 是軟體和硬體,設計用來收集在網路上流動的資料。一個通天鼻會收集的資料可以用包括疑難排解、 網路流量分析及安全性用途的許多用途。這種類型的資料也可用於包括資料竊取密碼破解,和網路對應 (偵察) 的不合法用途。這種被動的網路攻擊,可能難以偵測。

網路竊聽程式可以在其中一種模式中執行:
  • 未混雜模式
  • 混雜模式
無法在混雜模式通常執行的網路 sniffers 收集資料,從網路是預定要傳送或從正在執行 「 通天鼻的電腦中送出。這個流量可能包括單點傳送]、 [廣播,] 和 [多點傳送的流量。

混雜模式是一種狀態的網路介面卡會複製所有透過網路傳遞給不論目的地位址的一個本機緩衝區的框架。這個模式能讓網路 sniffers 來擷取 「 通天鼻本機子網路或虛擬區域網路 (VLAN) 上的所有網路流量。再次,此流量可能包括單點傳播、 廣播和多點傳送的流量。您可以設定以限制這項活動,讓網路竊聽程式可以收集來回執行通天鼻 (比方說連接交換機埠,正在執行 「 通天鼻的電腦已插入) 的電腦傳送的資料參數。如果電腦有可能在電腦上執行在混雜模式下網路 Sniffer 中執行的網路介面。

Promqry 和 PromqryUI


Promqry 和 PromqryUI 是偵測在混雜模式中執行的網路介面的兩種工具。Promqry 是一個命令列工具,而 PromqryUI 是 Windows 圖形化使用者介面的工具。這兩個工具有相同的基本功能。它們準確地可以決定受管理的電腦是否有網路介面在混雜模式中執行,如果電腦執行 Windows 2000 或更新版本。這些工具無法偵測獨立 sniffers 或非 Microsoft Windows 架構的電腦執行的 sniffers。

如何取得工具

摺疊此圖像展開此圖像
Download
Download the Promqry package now.

摺疊此圖像展開此圖像
Download
Download the PromqryUI package now.

常用的功能

Promqry 和 PromqryUI 都可以執行下列動作:
  • 查詢本機電腦的網路介面
  • 查詢一台遠端電腦的介面
  • 查詢範圍的遠端電腦介面
查詢電腦範圍時這兩個工具將 Ping (藉由使用 ICMP 通訊協定) 指定範圍中的每一部遠端電腦。如果 Ping 失敗,例如如果遠端電腦並不是線上或有防火牆是電腦的網路介面將不進行查詢。這項功能可讓這兩種工具來查詢指定的範圍更快,因為它們不會花時間嘗試查詢無法連線到電腦。可以為篩選 ICMP,網路停用此 ping 功能,如果需要。

預設情況下,這兩種工具提供詳細資訊輸出。詳細資訊輸出可以切換關閉,以便提供僅摘要資料。

需求

  • 這兩種工具都需要.NET Framework 以便執行。 因此,您必須安裝在您從中執行 Promqry 或 PromqryUI 電腦上的.NET Framework。不過,.NET Framework 沒有安裝在您想要查詢之遠端電腦上。如需有關.NET Framework 的詳細資訊,請造訪下列 Microsoft 網站: http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  • 若要使用兩種工具成功查詢電腦,您必須執行的系統管理員的安全性內容下工具正在查詢的電腦上。
  • 這兩個工具使用 Windows 管理檢測 (WMI) 來查詢電腦資訊介面找到混雜模式中執行時。預設狀況下,WMI 包含在 Windows 2000、 Windows XP 和 Windows Server 2003。
    如需有關 WMI 的詳細資訊,請造訪下列 Microsoft 網站: http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  • 因為 Promqry 和 PromqryUI 使用 WMI (和 DCOM),工具必須可以存取各種不同的 TCP/UDP 埠包括 TCP 連接埠 135,當它們查詢遠端電腦。
    如需有關使用 WMI 來連線到遠端電腦透過防火牆資訊,請造訪下列 Microsoft 網站: http://msdn2.microsoft.com/en-us/library/aa389286.aspx

已知的限制

Promqry 和 PromqryUI 有一些限制包括下列限制:
  • 工具無法偵測獨立 sniffers、 製造用途一般為唯一的目的的竊聽的裝置,例如網路流量。 這些裝置可以使用不同類型的硬體和軟體。
  • 工具無法偵測到 Windows 2000、 Windows XP,Windows Server 2003 和更新版本的 Windows 作業系統之外的作業系統執行的 sniffers。
  • 工具無法從遠端偵測 sniffers 上正在執行的 Windows 電腦專門用來避免偵測已經修改網路硬體。比方說,讓網路介面卡或網路纜線,可讓電腦接收流量從網路],但無法傳送到網路的流量,可能會修改硬體。在這種情況下電腦接收以判斷它是否有介面在混雜模式中執行查詢,但其回應不會讓它在網路上傳送查詢的電腦。不過,Promqry 和 PromqryUI 可以被用來代替遠端,查詢這些電腦本機,來判斷是否在混雜模式中執行的介面。

在虛擬電腦與虛擬伺服器上的筆記

Promqry 和 PromqryUI 可能報告的實體介面在混雜模式中執行 Microsoft 虛擬電腦和/或 Microsoft 虛擬伺服器執行的 Windows 電腦上。虛擬 PC 與虛擬伺服器會設定主應用程式的實體介面在混雜模式中執行。

Promqry 和 PromqryUI 報告混雜模式中任何一種下列的條件] 中執行主機的介面:
  • 虛擬 PC 或伺服器設定為使用主應用程式的實體介面。比方說虛擬 PC 或伺服器是直接連接到主機的網路,而非設它自己的區域網路上的或是設定為被設定為執行網路位址轉譯 (NAT) 的介面背後。
  • 應用程式 (如網路竊聽程式已經設定主機電腦的網路介面,以在混雜模式中執行。查詢主機電腦時報告主機電腦的介面之一在混雜模式中執行。
Promqry 和 PromqryUI 報表,主應用程式的介面不在下列情況下的混雜模式中執行:
  • 虛擬 PC 或伺服器設定為使用它自己的區域網路,或是設定為使用共用的 NAT 連線。比方說虛擬 PC 或伺服器未設定為使用主應用程式的實體介面。其中一個這些組態,即使虛擬 PC 或伺服器正在執行設定要在混雜模式下 Promqry 執行介面的網路竊聽程式,而且 PromqryUI 報告的介面不執行混雜模式中。雖然虛擬 PC 或伺服器的介面在混雜模式中執行,介面將只能探查會傳送與它自己的 IP 位址的網路流量。無法探查連接到子網路上的所有流量。

Promqry 1.0 使用量

Promqry 是一個命令列工具,也可以用指令碼中。 Promqry 查詢介面在混雜模式中執行的電腦。

若要查詢本機電腦介面,執行 promqry.exe 命令。

備忘稿
  • 傳回零 (0),如果找不到任何介面在混雜模式中執行。
  • 如果找不到沒有介面混雜模式中執行,則傳回 1。
  • 如果遇到錯誤,則傳回 99。
  • [npnv] 選項並不適用於本機的查詢。
若要查詢遠端電腦介面,執行 [promqry.exe remote_IP | remote_name [-nv]

備忘稿
  • 傳回零 (0),如果找不到任何介面在混雜模式中執行。
  • 如果找不到沒有介面混雜模式中執行,則傳回 1。
  • 如果遇到錯誤,則傳回 99。
  • nv 選項表示沒有詳細資訊輸出。[] 選項只會報告錯誤和電腦在混雜模式中執行的介面。
若要查詢的遠端電腦介面範圍,執行 [promqry.exe start_remote_IP:end_remote_IP [-np] [-nv] 命令。

備忘稿
  • start_remote_IP 值必須低於 end_remote_IP 的值。
  • np 表示查詢之前沒有 ping。
  • 只有在查詢的電腦範圍時,np 才有效。
  • nv 表示沒有詳細資訊輸出。[] 選項只會報告錯誤和電腦在混雜模式中執行的介面。

PromqryUI 1.0 使用量

PromqryUI 介面有兩個窗格。左的窗格列出系統,以查詢,並右窗格顯示時按一下 [開始查詢] 按鈕時,就會產生的輸出。
摺疊此圖像展開此圖像
PromqryUI main window


若要將系統新增到系統,以查詢清單,按一下 [新增]。您將會詢問您要新增到清單的單一系統的範圍。
摺疊此圖像展開此圖像
Select
		  Addition Type dialog box


單一系統可以加入由 IP 位址或名稱。如果加入一個名稱 PromqryUI 會嘗試將名稱解析成 IP 位址,當您按一下開始查詢] 按鈕。如果名稱無法解析為 IP 位址,查詢將會失敗。
摺疊此圖像展開此圖像
Add System to Query dialog
		  box


範圍的系統加入系統?查詢的清單時起始 IP 位址必須小於結束 IP 位址。
摺疊此圖像展開此圖像
Add
		  Range of Systems to Query dialog box


新增系統後,按一下以選取每一個旁邊的方塊或範圍到選取您想要查詢的系統。系統和未選取的範圍將不被查詢當您按一下開始查詢] 按鈕。
摺疊此圖像展開此圖像
Select the systems you want to
		  query


時 (使用 [檔案]、 [結束] 功能表項目或使用控制項方塊),以平常的方式結束 PromqryUI 任何您新增到清單的系統將會自動儲存。下次啟動 PromqryUI,系統到查詢 清單會自動填入與系統及已儲存的範圍。

您可以使用 [編輯] 功能表設定 ping 選項和先前描述的詳細資訊選項。
摺疊此圖像展開此圖像
Ping Before Query option and
		  Verbose Output option


按下 [開始查詢] 按鈕,開始查詢選取的系統。在詳細資訊模式中會列出每個介面,而每個介面執行混雜模式中是否。

如果沒有介面發現混雜模式中執行,您會收到類似下圖中顯示的訊息訊息。

摺疊此圖像展開此圖像
Query
		  Result output dialog (no interfaces are found in Promiscuous
		  mode)


如果發現介面是在混雜模式中執行,您會收到類似下圖中顯示一個訊息。

摺疊此圖像展開此圖像
Query
		  Result output dialog (an interface is found in Promiscuous
		  mode)


當 PromqryUI (或 Promqry) 找到擁有一個在混雜模式中執行的介面的主機時,PromqryUI 使用 WMI 查詢主機的其他資訊,讓您更容易識別該主機。下列是這個資料的範例:
電腦名稱: MYCOMPUTER
網域: contoso.com
電腦製造商: Dell 電腦股份有限公司
電腦模型: 精確度工作站 340
主要擁有者: 王寶生
目前已登入的使用者: contoso\user1
操作: Microsoft(R) Windows(R) Server 2003 企業版
組織: Contoso Corp.

屬性

文章編號: 892853 - 上次校閱: 2006年12月28日 - 版次: 1.4
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
關鍵字:?
kbmt kbnetworkmon kbnetwork kbinfo KB892853 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:892853
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com