Popis Promqry 1.0 a PromqryUI 1.0

Souhrn

Síť "sledovacím" je určena ke shromažďování dat, které proudí přes síť. Data lze využít k mnoha účelům, včetně odstraňování potíží, analýzy síťového provozu a bezpečnostních důvodů. Data však lze neoprávněným účelům, jako jsou síťové útoky. Tento článek uvádí dva nástroje Promqry a PromqryUI, které umožňují rozpoznat prostém, spuštěné v systému Microsoft Windows Server 2003, Microsoft Windows XP a Microsoft Windows 2000.

Promqry je nástroj příkazového řádku, který lze také použít ve skriptech. PromqryUI je nástroj má grafické uživatelské rozhraní systému Windows. Oba nástroje mají stejné základní funkce:
  • Rozhraní pro dotazování místní počítačové sítě
  • Dotaz rozhraní jednoho vzdáleného počítače
  • Dotaz rozsah rozhraní vzdálených počítačů
Promqry a PromqryUI vyžadují Microsoft rozhraní.NET Framework pro spuštění a nástroje nutné spustit v kontextu zabezpečení správce. Navíc nástroje mají následující omezení:
  • Jejich samostatné senzorovými nezjistí.
  • Se senzorovými spuštěné v operačních systémech předcházejících systému Microsoft Windows 2000 nerozpozná.
  • Že nemůže rozpoznat vzdáleně senzorovými spuštěných v systémech Windows kde síťový hardware byl změněn konkrétně k vyhnout zjišťování.
Na konci tohoto článku jsou k dispozici podrobné informace o použití Promqry 1.0 a PromqryUI 1.0.

ÚVOD

Tento článek obsahuje dva nástroje, které umožňují rozpoznat síťový sniffer, který je spuštěn v počítači se systémem Windows Server 2003, Windows XP nebo Windows 2000.

Další informace

Základní informace


Síť "sledovacím" je software a hardware, který je určen ke sběru dat, který proudí přes síť. Data, která shromažďuje sniffer lze využít k mnoha účelům, včetně odstraňování potíží, analýzy síťového provozu a bezpečnostních důvodů. Tento typ dat lze použít také k neoprávněným účelům, včetně krádeží dat heslem krakování a síťové mapování (reconnaissance). Tento typ útoku pasivní sítě může být obtížné rozpoznat.

Sniffer sítě lze spustit v jednom ze dvou režimů:
  • Non promiskuitní režim.
  • Promiskuitní režim.
Prostém, které nebudou spuštěny v promiskuitního režimu obvykle sběr dat ze sítě, ke které je určeno k nebo odeslané z počítače se systémem neodesílá. Tento přenos může zahrnovat jednosměrového vysílání a vícesměrového vysílání.

Promiskuitní režim je stav, ve kterém karty síťového adaptéru zkopíruje všechny rámce, které předávají prostřednictvím sítě místní vyrovnávací paměti, bez ohledu na cílovou adresu. Tento režim umožňuje prostém zachytit veškerý síťový provoz na místní podsíti sniffer nebo virtuální místní síti (VLAN). Znovu tento přenos může zahrnovat jednosměrového vysílání a vícesměrového vysílání. Můžete nakonfigurovat přepínač omezit tuto aktivitu, aby sniffer sítě můžete shromažďovat pouze data odesílaná do a z počítače se systémem sniffer (například přepínač port, který je připojen počítač, který běží sniffer). Pokud je v počítači nainstalováno síťové rozhraní, které jsou spuštěny v promiskuitního režimu, mohou v počítači spuštěn síťový sniffer.

Promqry a PromqryUI


Promqry a PromqryUI jsou dva nástroje, které zjišťuje síťová rozhraní, které jsou spuštěny v promiskuitního režimu. Promqry je nástroj příkazového řádku a PromqryUI je nástroj má grafické uživatelské rozhraní systému Windows. Oba nástroje mají stejné základní funkce. Můžete přesně určit, zda má spravované počítače síťová rozhraní, které jsou spuštěny v promiskuitního režimu Pokud počítač se systémem Windows 2000 nebo novější. Tyto nástroje nerozpozná samostatný senzorovými nebo senzorovými, které jsou spuštěny v počítačích non-Microsoft systémem Windows.

Získání nástrojů

Download Stáhněte balíček Promqry

Download Stáhněte balíček PromqryUI.

Běžné funkce

Promqry a PromqryUI lze provádět následující akce:
  • Dotaz rozhraní sítě v místním počítači
  • Dotaz rozhraní jednoho vzdáleného počítače
  • Dotaz rozsah rozhraní vzdálených počítačů
Je-li rozsah počítačů je dotazován, budou oba nástroje ping (pomocí protokolu ICMP) každému vzdálenému počítači v zadaném rozsahu. Pokud se provedení příkazu ping nezdaří, například pokud vzdálený počítač není online nebo je za bránou firewall v počítači síťových rozhraní nebude dotazovány. Tato funkce umožňuje oba nástroje dotaz zadaný rozsah rychlejší, protože jejich není trávit čas pokusu o dotaz nedosažitelné počítače. Tato funkce ping lze zakázat pro sítě, které umožňují filtrovat ICMP, pokud je požadováno.

Ve výchozím nastavení oba nástroje poskytují podrobný výstup. Podrobný výstup můžou být vypnout tak, že je k dispozici pouze souhrnná data.

Požadavky

  • Oba nástroje rozhraní.NET Framework vyžadují ke spuštění. Proto musí mít rozhraní.NET Framework, nainstalován v počítači, ze kterého spustíte Promqry a PromqryUI. Rozhraní.NET Framework však nemusí být nainstalovány ve vzdálených počítačích, které mají být zobrazeny. Další informace o rozhraní.NET Framework naleznete na následujícím webu společnosti Microsoft:
    http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  • Úspěšně dotaz do počítače pomocí kteréhokoli z těchto nástrojů, je nutné spustit v kontextu zabezpečení Správce nástrojů v počítači, ve kterém se dotazujete.
  • Oba nástroje používají Windows Management Instrumentation (WMI) k dotazu počítače informace nalezený rozhraní spuštěna v promiskuitního režimu. Ve výchozím služby WMI je součástí systému Windows 2000, Windows XP a Windows Server 2003.
    Další informace o službě WMI naleznete na následujícím webu společnosti Microsoft:http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  • Protože Promqry a PromqryUI používat WMI (a DCOM), nástroje musí mít přístup k různé porty TCP/UDP port TCP 135, včetně, při dotazování vzdálených počítačů.
    Informace o připojení ke vzdáleným počítačům přes brány firewall pomocí služby WMI naleznete na následujícím webu společnosti Microsoft:
    http://msdn2.microsoft.com/en-us/library/aa389286.aspx

Známá omezení

Promqry a PromqryUI mají určitá omezení, včetně následující omezení:
  • Nástroje nemůže rozpoznat samostatné senzorovými, například zařízení, která jsou vyráběna výhradně za účelem sledování toku dat síťového provozu. Tato zařízení můžete použít různé typy hardwaru a softwaru.
  • Nástroje nemůže rozpoznat senzorovými, které jsou spuštěny v jiné operační systémy než Windows 2000, Windows XP, Windows Server 2003 a novější operační systémy Windows.
  • Nástroje nemůže rozpoznat vzdáleně senzorovými, které jsou spuštěny v počítačích se systémem Windows kde síťový hardware byl změněn konkrétně k vyhnout zjišťování. Hardware může být například změněn tak, aby síťové karty nebo síťový kabel umožňuje počítači přijímat přenosy ze sítě, ale nikoli k síti, který odesílá data. V tomto scénáři počítač obdrží dotaz chcete-li zjistit, zda má rozhraní, které jsou spuštěny v promiskuitního režimu, ale jeho odpověď nestane zpět po síti do počítače, který odeslal dotaz. Však Promqry a PromqryUI lze dotaz místně, tyto počítače namísto vzdáleně, určit, zda rozhraní jsou spuštěny v promiskuitního režimu.

Poznámky k Virtual PC a Virtual Server

Promqry a PromqryUI oznámit, zda fyzické rozhraní spuštěna v promiskuitního režimu v počítači se systémem Windows, který je spuštěn Microsoft Virtual PC a Microsoft Virtual Server. Virtual PC a Virtual Server nakonfigurovat na hostitele fyzické rozhraní do promiskuitního režimu.

Promqry a PromqryUI sestavu, která hostitele rozhraní spuštěna v promiskuitního režimu v jednom z následujících podmínek:
  • Virtuální počítače nebo serveru je nakonfigurován pro použití na hostitele fyzické rozhraní. Například virtuální počítače nebo serveru je přímo připojen k síti hostitele namísto konfigurovanou na vlastní místní síť nebo nakonfigurován za rozhraní, který je nakonfigurován pro provádění překladu adres (NAT).
  • Aplikace například sniffer sítě nakonfiguroval hostitelský počítač síťové rozhraní do promiskuitního režimu. Pokud dotazovaný hostitelský počítač hlásí, jedno z rozhraní hostitelský počítač běží v promiskuitního režimu.
Promqry a PromqryUI sestavu, která hostitele rozhraní není spuštěna v promiskuitního režimu za následujících podmínek:
  • Virtuální počítače nebo serveru je nakonfigurován pro použití vlastní místní síť nebo je nakonfigurován pro použití sdíleného připojení NAT. Virtuální počítač nebo server není nakonfigurován pro použití na hostitele fyzické rozhraní. I v případě, že virtuální počítače nebo serveru je spuštěn síťový sniffer, který konfiguruje rozhraní do promiskuitního režimu Promqry a PromqryUI zprávu, že v jednom z těchto konfigurací neběží rozhraní v promiskuitního režimu. Přestože rozhraní virtuální počítače nebo serveru je spuštěna v promiskuitního režimu, rozhraní bude pouze schopen zachytit síťové přenosy odeslané z adresy IP a. Nebudete moci zachytit všechny přenosy v podsíti, ke které je připojen.

Využití Promqry 1.0

Promqry je nástroj příkazového řádku, který lze také použít ve skriptech. Promqry dotazy počítačů pro rozhraní, které jsou spuštěny v promiskuitního režimu.

Dotaz rozhraní v místním počítači, spusťte příkaz promqry.exe .

Poznámky
  • Vrátí nulu (0), pokud jsou nalezeny žádné rozhraní spuštěna v promiskuitního režimu.
  • Vrátí 1, pokud jsou nalezeny žádné rozhraní spuštěna v promiskuitního režimu.
  • Pokud dojde k chybě vrátí 99.
  • Np a nv možnosti nejsou platné pro místní dotaz.
Dotaz rozhraní vzdáleného počítače, spusťte promqry.exe remote_IP | remote_name [-nv]

Poznámky
  • Vrátí nulu (0), pokud jsou nalezeny žádné rozhraní spuštěna v promiskuitního režimu.
  • Vrátí 1, pokud jsou nalezeny žádné rozhraní spuštěna v promiskuitního režimu.
  • Pokud dojde k chybě vrátí 99.
  • Možnost nv znamená, že je žádné podrobný výstup. Možnost pouze hlásí chyby a počítačů s rozhraními, které jsou spuštěny v promiskuitního režimu.
Chcete-li odeslat dotaz na rozsah rozhraní vzdáleného počítače, spusťte promqry.exe start_remote_IP:end_remote_IP [-np] [-nv] příkazu.

Poznámky
  • Hodnota start_remote_IP musí být nižší než hodnota end_remote_IP.
  • NP znamená, že žádný ping před dotazu.
  • NP je platný pouze v případě, že dotaz na rozsah počítačů.
  • NV znamená, že je žádné podrobný výstup. Možnost pouze hlásí chyby a počítačů s rozhraními, které jsou spuštěny v promiskuitního režimu.

Využití PromqryUI 1.0

PromqryUI rozhraní obsahuje dvě podokna. V levém podokně seznam systémů dotazu a v pravém podokně zobrazí výstup, která je generována při klepnutí na tlačítko Spustit dotaz.
PromqryUI main window

Systémy do seznamu systémů do dotazu přidat klepnutím na tlačítko Přidat. Zobrazí se dotaz, zda chcete do seznamu přidat jeden systém nebo rozsahu systémů.
Select Addition Type dialog box

Jediné systémy mohou být přidány pomocí adresy IP nebo názvu. Jestliže je přidán název PromqryUI pokusí přeložit název na adresu IP, po klepnutí na tlačítko Spustit dotaz. Pokud název přeložit na adresu IP, dotaz selže.
Add System to Query dialog box

Když přidáte do seznamu systémů dotazu rozsahu systémů, počáteční IP adresa musí být menší než koncová adresa IP.
Add Range of Systems to Query dialog box

Po přidání systémy klepnutím zaškrtněte políčka vedle jednotlivých nebo oblast vyberte systémy, které mají být zobrazeny. Systémy a oblastí, které nejsou vybrány nebude dotaz klepnutím na tlačítko Spustit dotaz.
Select the systems you want to query

Všechny systémy, které jste přidali do seznamu budou automaticky uloženy při ukončení PromqryUI obvyklým způsobem (pomocí
Nabídky soubor, konec položky nebo pomocí ovládacího prvku pole). Při příštím spuštění PromqryUI, seznam Systémů do dotazu je automaticky vyplněno systémy a oblastí, které byly uloženy.

V nabídce Úpravy lze nastavit možnost ping a možnost podrobného výstupu, které bylo popsáno dříve.
Ping Before Query option and Verbose Output option

Klepněte na tlačítko Spustit dotaz spustit dotaz na vybrané systémy. V režimu s komentářem je uvedena jednotlivá rozhraní a zda každé rozhraní spuštěna v promiskuitního režimu.

Pokud jsou spuštěny v promiskuitního režimu nebyla nalezena žádná rozhraní, zobrazí se zpráva podobná zpráva zobrazená na následujícím obrázku.

Query Result output dialog (no interfaces are found in Promiscuous mode)

Pokud je rozhraní spuštěna v promiskuitního režimu, zobrazí se zpráva je zobrazena na následujícím obrázku.

Query Result output dialog (an interface is found in Promiscuous mode)

Při PromqryUI (nebo Promqry) nalezení hostitele, který má rozhraní, která je spuštěna v promiskuitního režimu, použije PromqryUI WMI dotaz pro snazší identifikaci tohoto hostitele hostitel pro další informace. Následuje příklad tato data:
Název počítače: počítač
Domény: contoso.com
Výrobce: Dell Computer Corporation.
Model počítače: pracovní stanice přesnost 340
Primárního vlastníka: Jan Novák
Aktuálně přihlášený uživatel: contoso\user1
Provozní: Systém Microsoft(R) Windows(R) Server 2003 Enterprise Edition
Organizace: Contoso Corporation
Vlastnosti

ID článku: 892853 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor