وصف برومقري 1.0 وبرومقريي 1.0

ملخص

شبكة "الشم" من أجل جمع البيانات الذي يتدفق عبر شبكة اتصال. يمكن أن تكون البيانات مفيدة للعديد من الأغراض، بما في ذلك استكشاف الأخطاء وإصلاحها وتحليل حركة مرور الشبكة وأغراض تتعلق بالأمان. ومع ذلك، يمكن استخدام البيانات لأغراض غير مشروعة، مثل الهجوم على الشبكة. يقدم هذا المقال أداتان برومقري وبرومقريي، التي تتيح إمكانية الكشف عن المتطفلين على الشبكة التي تعمل على نظام التشغيل Microsoft Windows Server 2003 على نظام التشغيل Microsoft Windows XP وفي نظام التشغيل Microsoft Windows 2000.

برومقري هي أداة سطر أوامر التي يمكن استخدامها أيضا في البرامج النصية. برومقريي هي أداة يحتوي على واجهة مستخدم رسومية Windows. يكون كل من أدوات نفس الوظائف الأساسية:
  • للاستعلام عن شبكة الكمبيوتر المحلي واجهات
  • للاستعلام عن واجهات واحد كمبيوتر بعيد
  • للاستعلام عن مجموعة من واجهات أجهزة الكمبيوتر عن بعد
تتطلب Microsoft.NET Framework لتشغيل برومقري وبرومقريي، والأدوات يجب أن تعمل ضمن سياق أمان المسؤول. بالإضافة إلى ذلك، تحتوي الأدوات القيود التالية:
  • لا يمكن الكشف عن المتطفلين المستقلة.
  • لا يمكن الكشف عن المتطفلين التي يتم تشغيلها على أنظمة التشغيل السابقة ل Microsoft Windows 2000.
  • لا يمكن عن بعد الكشف عن المتطفلين التي يتم تشغيلها على أنظمة Windows حيث تم تعديل جهاز شبكة الاتصال على وجه التحديد لتجنب الكشف.
في نهاية المقالة، يتم توفير تفاصيل حول كيفية استخدام برومقري 1.0 و 1.0 برومقريي.

مقدمة

يقدم هذا المقال أداتان تتيح إمكانية الكشف عن متشمم شبكة اتصال قيد التشغيل على كمبيوتر الذي يقوم بتشغيل Windows Server 2003 أو نظام التشغيل Windows XP أو Windows 2000.

مزيد من المعلومات

معلومات أساسية


هي شبكة "الشم" البرامج والأجهزة التي تم تصميمها لجمع بيانات الذي يتدفق عبر شبكة اتصال. البيانات التي يجمعها متشمم قد يكون مفيداً لأغراض عديدة، بما في ذلك استكشاف الأخطاء وإصلاحها وتحليل حركة مرور الشبكة وأغراض تتعلق بالأمان. يمكن أيضا استخدام هذا النوع من البيانات لأغراض غير مشروعة، بما في ذلك سرقة البيانات، كلمة المرور تكسير وشبكة التعيين (استطلاع). يمكن هذا النوع من هجمات شبكة الاتصال الخامل يصعب اكتشافها.

تشغيل متشمم شبكة اتصال بأحد وضعين:
  • وضع مختلط دون
  • وضع مختلط
المتطفلين على الشبكة لا يعمل في وضع مختلط عادة جمع البيانات من شبكة الاتصال الموجهة إلى أو المرسلة من الكمبيوتر الذي يقوم بتشغيل الشم. قد يتضمن هذا حركة مرور البث الأحادي والبث وحركة مرور الإرسال المتعدد.

وضع مختلط من الدول فيها بطاقة محول شبكة بنسخ كافة الإطارات التي تمر عبر الشبكة لمخزن المؤقت، بغض النظر عن عنوان الوجهة. هذا الوضع من المتطفلين على الشبكة لالتقاط كافة حركة مرور شبكة الاتصال على شبكة منطقة محلية ظاهرية (VLAN) أو متشمم الشبكة الفرعية المحلية. مرة أخرى، قد يتضمن هذا حركة مرور البث الأحادي والبث وحركة مرور الإرسال المتعدد. يمكنك تكوين تبديل لتحديد هذا النشاط متشمم شبكة جمع البيانات التي تم إرسالها إلى ومن كمبيوتر يشغل الشم (على سبيل المثال، التبديل المنفذ الذي يتم توصيل الكمبيوتر الذي يقوم بتشغيل الشم). إذا كان لدى كمبيوتر واجهات شبكة الاتصال قيد التشغيل في وضع مختلط، قد تعمل متشمم شبكة اتصال على الكمبيوتر.

برومقري وبرومقريي


برومقري وبرومقريي هي أداتان تكشف واجهات شبكة الاتصال قيد التشغيل في وضع مختلط. برومقري أداة سطر أوامر، وبرومقريي هو أداة يحتوي على واجهة مستخدم رسومية Windows. يكون كل من أدوات نفس الوظائف الأساسية. دقة أن تحدد ما إذا كان لدى كمبيوتر مدار واجهات شبكة الاتصال قيد التشغيل في وضع مختلط إذا كان الكمبيوتر يشغل Windows 2000 أو إصدار أحدث. لا يمكن الكشف عن هذه الأدوات المستقلة المتطفلين أو المتطفلين قيد التشغيل على أجهزة الكمبيوتر غير المستندة إلى Microsoft Windows.

كيفية الحصول على الأدوات

Download قم بتنزيل الحزمة برومقري الآن.

Download قم بتنزيل الحزمة برومقريي الآن.

الميزات الشائعة

يمكن تنفيذ كل من برومقري وبرومقريي ما يلي:
  • استعلام واجهات شبكة الاتصال للكمبيوتر المحلي
  • واجهات كمبيوتر واحد بعيد للاستعلام
  • استعلام مجموعة من واجهات أجهزة الكمبيوتر عن بعد
عندما يتم الاستعلام عن مجموعة من أجهزة الكمبيوتر، سيتم تنفيذ كل من أدوات (باستخدام البروتوكول ICMP) كل كمبيوتر عن بعد في النطاق المحدد. إذا فشل اختبار الاتصال، على سبيل المثال، إذا كان الكمبيوتر البعيد غير متصل أو خلف جدار حماية, سوف لا يطالب واجهات شبكة الاتصال للكمبيوتر. تسمح هذه الميزة لكل من أدوات الاستعلام النطاق المحدد أسرع نظراً لأنها لن تنفق الوقت محاولة الاستعلام لا يمكن الوصول إلى أجهزة الكمبيوتر. يمكن تعطيل هذه الميزة ping لشبكات تصفية ICMP، إذا كان ذلك مطلوباً.

بشكل افتراضي، توفر كل من أدوات الإخراج المطول. يمكن أن يكون مثبت الإخراج المطول إيقاف حيث أنه يتم توفير بيانات التلخيص فقط.

متطلبات

  • تتطلب كلا أدوات.NET Framework لتشغيل. ولذلك، يجب أن يكون لديك برنامج.NET Framework مثبتاً على جهاز الكمبيوتر الذي تقوم بتشغيل برومقري أو برومقريي. ومع ذلك، ليس لديه.NET Framework ليتم تثبيتها على أجهزة الكمبيوتر البعيدة التي تريد الاستعلام. لمزيد من المعلومات حول.NET Framework، قم بزيارة موقع Microsoft التالي على الويب:
    http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  • لاستخدام أية أداة للاستعلام بنجاح كمبيوتر، يجب تشغيل الأدوات ضمن سياق الأمان لمسؤول على الكمبيوتر الذي تقوم بالاستعلام عنها.
  • استخدم كل من أدوات Windows Management Instrumentation (WMI) لأجهزة الكمبيوتر الاستعلام للمعلومات عند العثور على واجهة التشغيل في وضع مختلط. بشكل افتراضي، يتم تضمين WMI في نظام التشغيل Windows 2000 ونظام التشغيل Windows XP أو Windows Server 2003.
    لمزيد من المعلومات حول WMI، قم بزيارة موقع Microsoft التالي على الويب:http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  • نظراً لاستخدام WMI (و DCOM) برومقري وبرومقريي، عليك الأدوات الوصول إلى منافذ TCP/UDP متعددة، بما في ذلك منفذ TCP 135، عندما كانت الاستعلام على أجهزة الكمبيوتر البعيدة.
    لمزيد من المعلومات حول الاتصال بأجهزة الكمبيوتر البعيدة عبر جدار حماية باستخدام WMI، قم بزيارة موقع Microsoft التالي على الويب:
    http://msdn2.microsoft.com/en-us/library/aa389286.aspx

القيود المعروفة

برومقري وبرومقريي لها بعض القيود، بما في ذلك القيود التالية:
  • لا يمكن الكشف عن الأدوات المتطفلين المستقلة، على سبيل المثال، أجهزة تابعة لغرض التعرف على حركة مرور شبكة الاتصال. هذه الأجهزة يمكن استخدام أنواع مختلفة من الأجهزة والبرامج.
  • لا يمكن الكشف عن الأدوات المتطفلين التي يتم تشغيلها على أنظمة تشغيل مختلفة عن Windows 2000 ونظام التشغيل Windows XP، Windows Server 2003 وأنظمة تشغيل Windows الأحدث.
  • لا عن بعد الكشف عن الأدوات المتطفلين قيد التشغيل على أجهزة الكمبيوتر المستندة إلى Windows حيث تم تعديل جهاز شبكة الاتصال على وجه التحديد لتجنب الكشف. على سبيل المثال، قد يتم تعديل الجهاز حيث أنه يسمح للكمبيوتر بتلقي حركة مرور من الشبكة، لكن ليس على إرسال حركة مرور إلى الشبكة بطاقة واجهة الشبكة أو كبل شبكة. في هذا السيناريو، فإن الكمبيوتر يتلقى استعلام لتحديد ما إذا كانت الواجهات التي يتم تشغيلها في وضع مختلط، ولكن ردها لا يجعل العودة عبر الشبكة إلى الكمبيوتر الذي تم إرسال الاستعلام. ومع ذلك، يمكن استخدام برومقري وبرومقريي للاستعلام هذه الحواسيب محلياً، بدلاً من عن بعد، لتحديد ما إذا كانت واجهات قيد التشغيل في وضع مختلط.

ملاحظات على الملقم الظاهري و Virtual PC

قد برومقري وبرومقريي تقرير أن الواجهة الفعلية قيد التشغيل في وضع مختلط على جهاز كمبيوتر يستند إلى Windows الذي يقوم بتشغيل Virtual PC ل Microsoft و/أو الملقم الظاهري ل Microsoft. سيتم تكوين الكمبيوتر والخادم الظاهري الظاهري واجهة المضيف الفعلي للتشغيل في وضع مختلط.

تقرير برومقري وبرومقريي واجهة المضيف قيد التشغيل في وضع مختلط في أي من الحالات التالية:
  • يتم تكوين جهاز كمبيوتر أو ملقم ظاهري استخدام واجهة المضيف الفعلي. على سبيل المثال، جهاز كمبيوتر أو خادم ظاهري مباشرة متصل بشبكة المضيف بدلاً من يتم تكوينه على الشبكة المحلية الخاصة به أو تكوين وراء واجهة الذي تم تكوينه لإجراء ترجمة عنوان الشبكة (NAT).
  • تم تكوين تطبيق مثل متشمم شبكة اتصال بواجهة شبكة كمبيوتر المضيف للتشغيل في وضع مختلط. عندما يتم الاستعلام عن جهاز الكمبيوتر المضيف، فإنه تقارير إحدى الواجهات الكمبيوتر المضيف قيد التشغيل في وضع مختلط.
تقرير برومقري وبرومقريي واجهة المضيف لا يعمل في وضع مختلط الحالات التالية:
  • جهاز كمبيوتر أو ملقم ظاهري تم تكوينه لاستخدام الشبكة المحلية الخاصة به أو تم تكوينه لاستخدام مشاركة اتصال NAT. على سبيل المثال، جهاز كمبيوتر أو خادم ظاهري لم يتم تكوين لاستخدام واجهة فعلية للمضيف. في أحد هذه التكوينات، حتى عند تشغيل الكمبيوتر أو الخادم الظاهري متشمم شبكة اتصال الواجهة للتشغيل في وضع مختلط، برومقري وبرومقريي أن الواجهة لا يعمل في وضع مختلط. على الرغم من أن واجهة للكمبيوتر أو الخادم الظاهري يعمل في وضع مختلط، الواجهة فقط سيتمكن شم حركة مرور شبكة الاتصال التي تم إرسالها من عنوان IP الخاص به. أنه سيتعذر على كافة حركات المرور على الشبكة الفرعية المتصل لشم.

استخدام برومقري 1.0

برومقري هي أداة سطر أوامر التي يمكن استخدامها أيضا في البرامج النصية. يستعلم برومقري أجهزة الكمبيوتر للواجهات التي يتم تشغيلها في وضع مختلط.

للاستعلام عن واجهات كمبيوتر محلي، بتشغيل الأمر promqry.exe .

ملاحظات
  • إرجاع صفر (0) إذا تم العثور على أي واجهة التشغيل في وضع مختلط.
  • إرجاع 1 إذا تم العثور على أية واجهات التشغيل في وضع مختلط.
  • إرجاع 99 إذا تم مصادفة خطأ.
  • الخيارات التي أرستها و نيفادا غير صالحة لاستعلام محلية.
للاستعلام عن واجهات الكمبيوتر البعيد، شغل promqry.exe remote_IP | remote_name [-nv]

ملاحظات
  • إرجاع صفر (0) إذا تم العثور على أي واجهة التشغيل في وضع مختلط.
  • إرجاع 1 إذا تم العثور على أية واجهات التشغيل في وضع مختلط.
  • إرجاع 99 إذا تم مصادفة خطأ.
  • الخيار nv يعني أن هناك أي إخراج مطول. الخيار فقط تقارير الأخطاء وأجهزة الكمبيوتر باستخدام الواجهات التي يتم تشغيلها في وضع مختلط.
للاستعلام عن مجموعة من واجهات أجهزة الكمبيوتر عن بعد، قم بتشغيل promqry.exe start_remote_IP:end_remote_IP [-س م] [-nv] الأمر.

ملاحظات
  • يجب أن تكون قيمة start_remote_IP أقل من قيمة end_remote_IP.
  • np يعني أن هناك لا بينغ قبل الاستعلام.
  • np صالحاً فقط عند الاستعلام عن مجموعة من أجهزة الكمبيوتر.
  • nv يعني أن هناك أي إخراج مطول. الخيار فقط تقارير الأخطاء وأجهزة الكمبيوتر باستخدام الواجهات التي يتم تشغيلها في وضع مختلط.

استخدام برومقريي 1.0

واجهة برومقريي يحتوي على جزئين. يسرد الجزء الأيمن الأنظمة للاستعلام، ويعرض الجزء الأيسر الإخراج الذي تم إنشاؤه عند النقر فوق الزر "تشغيل الاستعلام".
PromqryUI main window

لإضافة أنظمة إلى قائمة أنظمة للاستعلام، انقر فوق إضافة. يتم مطالبتك ما إذا كنت تريد إضافة نظام واحد أو مجموعة من النظم إلى القائمة.
Select Addition Type dialog box

يمكن إضافة أنظمة واحد بعنوان IP أو باسم. إذا تم إضافة اسم أو محاولات برومقريي لتحليل الاسم إلى عنوان IP عند النقر فوق الزر "تشغيل الاستعلام". في حال عدم حل عنوان IP الاسم، يفشل الاستعلام.
Add System to Query dialog box

عند إضافة مجموعة من نظم لقائمة أنظمة للاستعلام، يجب أن يكون عنوان IP ابدأ أقل من عنوان النهاية.
Add Range of Systems to Query dialog box

بعد إضافة الأنظمة، انقر لتحديد المربع الموجود بجانب كل أو نطاق لتحديد الأنظمة التي تريد الاستعلام. نطاقات غير المحددة وأنظمة سيتم الاستعلام عن عند النقر فوق الزر "تشغيل الاستعلام".
Select the systems you want to query

أية أنظمة التي قمت بإضافتها إلى القائمة سيتم حفظ تلقائياً عند الخروج من برومقريي بالطريقة المعتادة (باستخدام
القائمة ملف، إنهاء عنصر أو باستخدام مربع عنصر التحكم). في المرة التالية التي تبدأ برومقريي، قائمة أنظمة للاستعلام يتم تلقائياً مع الأنظمة والنطاقات التي تم حفظها.

يمكنك استخدام القائمة تحرير لتعيين خيار ping وخيار المطولة التي تم وصفها سابقا.
Ping Before Query option and Verbose Output option

اضغط على الزر "تشغيل الاستعلام" لبدء الاستعلام الأنظمة المحددة. في الوضع المطول، يتم سرد كل واجهة وما إذا كان يعمل في وضع مختلط كل واجهة.

إذا تم العثور على أية واجهات التشغيل في وضع مختلط، سوف تتلقى رسالة مشابهة للرسالة التي يتم عرضها في الرسم أدناه.

Query Result output dialog (no interfaces are found in Promiscuous mode)

إذا تم العثور على واجهة التشغيل في وضع مختلط، سوف تتلقى رسالة مشابهة لتلك المعروضة في الرسم أدناه.

Query Result output dialog (an interface is found in Promiscuous mode)

عندما يعثر برومقريي (أو برومقري) مضيف الذي لديه واجهة قيد التشغيل في وضع مختلط، يستخدم برومقريي WMI للاستعلام المضيف لمزيد من المعلومات لتسهيل التعرف على هذا المضيف. التالي مثال هذه البيانات:
اسم الكمبيوتر: جهاز الكمبيوتر
المجال: contoso.com
الشركة المصنعة للكمبيوتر: شركة كمبيوتر Dell
طراز الكمبيوتر: 340 محطة العمل Precision
المالك الرئيسي: جون سميث
المستخدم المسجل دخوله حاليا: contoso\user1
التشغيل: مايكروسوفت ويندوز (صاد) Server 2003, Enterprise Edition
المؤسسة: شركة التعمير
خصائص

رقم الموضوع: 892853 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات