Beschreibung von Promqry 1.0 und PromqryUI 1.0

Zusammenfassung

Ein Netzwerk "Sniffer" dient zum Sammeln von Daten über ein Netzwerk übertragen. Die Daten können für viele Zwecke, einschließlich Problembehandlung, Analyse und Sicherheitsgründen nützlich sein. Allerdings können die Daten für illegale Zwecke wie Angriff verwendet werden. Dieser Artikel stellt zwei Tools Promqry und PromqryUI, ermöglichen, die Netzwerksniffer erkennen, die auf Microsoft Windows Server 2003, Microsoft Windows XP und Microsoft Windows 2000 ausgeführt werden.

Promqry ist ein Befehlszeilentool, das auch in Skripts verwendet werden kann. PromqryUI ist ein Tool, eine Windows-Benutzeroberfläche. Beide Tools haben die gleiche grundlegende Funktionalität:
  • Abfragen des lokalen Computers Netzwerk-Schnittstellen
  • Abfragen von einem einzigen Remotecomputer Schnittstellen
  • Abfrage über remote Computer Schnittstellen
Promqry und PromqryUI erfordern Microsoft.NET Framework ausgeführt, und die Tools müssen im Sicherheitskontext des Administrators ausgeführt. Außerdem haben Tools die folgenden Nachteile:
  • Sie können eigenständige Sniffer nicht erkennen.
  • Sie können keine Sniffer erkennen, die auf Betriebssystemen vor Microsoft Windows 2000 ausgeführt werden.
  • Sie können nicht Remote Sniffer erkennen, die unter Windows ausgeführt werden, wurde die Netzwerk-Hardware geändert, insbesondere zu erkennen.
Am Ende dieses Artikels erhalten Sie Details zur Verwendung von Promqry 1.0 und PromqryUI 1.0.

Einführung

Dieser Artikel stellt zwei Tools, mit denen Sie einen Netzwerksniffer erkennen, der auf einem Computer ausgeführt wird, auf dem Windows Server 2003, Windows XP oder Windows 2000 ausgeführt wird.

Weitere Informationen

Hintergrundinformationen


Ein Netzwerk "Sniffer" ist Software und Hardware, die Daten sammeln, die über ein Netzwerk übertragen. Mit ein Sniffer gesammelten Daten können für viele Zwecke, einschließlich Problembehandlung, Analyse und Sicherheitsgründen nützlich sein. Dies kann auch für illegale Zwecke einschließlich Datendiebstahl Kennwort knacken und networking Zuordnung (Aufklärung) verwendet werden. Diese Art von passiven Angriff kann schwer zu erkennen.

Ein Netzwerksniffer kann in zwei Modi ausgeführt werden:
  • Nicht im Promiscuous Mode befindet
  • Den Promiscuous-Modus
Netzwerk-Sniffer, die nicht im gemischten Modus werden in der Regel sammeln Daten aus dem Netzwerk, das bestimmt, oder von dem Computer mit der Sniffer gesendet. Dieser Datenverkehr gehören Unicast-, Broadcast- und multicast-Datenverkehr.

Den Promiscuous-Modus ist die Netzwerkkarte die Bilder kopiert, die über das Netzwerk auf einen lokalen Puffer unabhängig von der Zieladresse übergeben. In diesem Modus können Netzwerksniffer alle Netzwerkverkehrs der Sniffer lokalen Subnetz oder virtuellen LAN (VLAN). Dieser Datenverkehr gehören auch Unicast-, Broadcast- und multicast-Datenverkehr. Sie können einen Schalter, um diese Aktivität einschränken, sodass die Netzwerksniffer erfassen kann nur Daten zu und von dem Computer mit ist Sniffer (z. B. der Switch-Port, die der Computer mit dem Sniffer angeschlossen ist). Verfügt ein Computer Netzwerkschnittstellen, die im gemischten Modus ausgeführt wird, kann ein Netzwerksniffer auf dem Computer ausgeführt werden.

Promqry und PromqryUI


Promqry und PromqryUI sind zwei Tools, die Netzwerkschnittstellen erkennen, die im gemischten Modus ausgeführt werden. Ist ein Befehlszeilentool Promqry und PromqryUI ist ein Tool, eine Windows-Benutzeroberfläche. Beide Tools haben die gleiche grundlegende Funktionalität. Sie können genau bestimmen, ob ein verwalteter Computer Netzwerkschnittstellen, die im gemischten Modus ausgeführt werden, wenn der Computer Windows 2000 oder höher ausgeführt wird. Diese Tools erkannt nicht, eigenständige Sniffer oder Sniffer auf nicht-Microsoft Windows-basierten Computern ausgeführt werden.

So erhalten Sie die tools

Download Promqry jetzt herunterladen

Download PromqryUI jetzt herunterladen

Allgemeine features

Promqry und PromqryUI können folgende Aktionen ausführen:
  • Abfragen des lokalen Computers Netzwerkschnittstellen
  • Abfragen von einem einzigen Remotecomputer Schnittstellen
  • Abfrage über remote Computer Schnittstellen
Wenn mehrere Computer abgefragt wird, erreichen beide Tools (mithilfe des ICMP-Protokolls) für jeden Remotecomputer im angegebenen Bereich. Schlägt Ping, z. B. wenn der Remotecomputer nicht online ist oder hinter einer Firewall werden der Computer Netzwerkschnittstellen nicht abgefragt werden. Dadurch können beide Tools zum angegebenen Bereich schneller abgefragt werden, da sie nicht versuchen, Computer unreachable Abfragen verbringen. Diese Pingfunktion kann deaktiviert werden für Netzwerke, die filtern, ICMP, falls erforderlich.

Standardmäßig enthalten beide Tools ausführlichen Ausgabe. Ausführlicher Ausgabe kann aus umgeschaltet werden, damit nur zusammengefasste Daten bereitgestellt werden.

Voraussetzungen

  • Beide Tools erfordern.NET Framework ausführen. Daher müssen Sie.NET Framework auf dem Computer aus dem Promqry und PromqryUI ausgeführt installiert. .NET Framework ist jedoch nicht auf remote-Computern installiert werden, die Sie abfragen möchten. Weitere Informationen zu.NET Framework finden Sie auf der folgenden Microsoft-Website:
    http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  • Um beide Tools verwenden, um erfolgreich einen Computer abzufragen, müssen Sie die Tools im Sicherheitskontext eines Administrators auf dem Computer ausführen, die Sie Abfragen.
  • Beide Tools verwenden Windows-Verwaltungsinstrumentation (WMI) Abfrage Computer Informationen findet eine Schnittstelle im gemischten Modus ausgeführt werden. WMI ist standardmäßig in Windows 2000, Windows XP und Windows Server 2003 enthalten.
    Weitere Informationen zu WMI finden Sie auf der folgenden Microsoft-Website:http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  • Da Promqry und PromqryUI WMI (und DCOM) verwenden, müssen die Tools haben Zugriff auf verschiedene TCP/UDP-Ports, einschließlich TCP-Port 135, beim Abfragen von Remotecomputern.
    Informationen zum Herstellen einer Verbindung zu remote-Computern über einen Firewall mithilfe von WMI finden Sie auf der folgenden Microsoft-Website:
    http://msdn2.microsoft.com/en-us/library/aa389286.aspx

Einschränkungen

Promqry und PromqryUI weisen einige Nachteile, darunter die folgenden Nachteile:
  • Die Tools erkennt nicht eigenständige Sniffer, z. B. Geräte, die für Zwecke der Ermittlung des Netzwerkverkehrs hergestellt werden. Diese Geräte können verschiedene Arten von Hardware und Software.
  • Die Tools erkannt nicht Sniffer, die auf anderen Betriebssystemen als Windows 2000, Windows XP, Windows Server 2003 und neueren Windows-Betriebssystemen ausgeführt werden.
  • Die Tools erkannt nicht Remote Sniffer, die auf Windows-Computern ausgeführt werden, wurde die Netzwerk-Hardware geändert, insbesondere zu erkennen. Beispielsweise werden die Hardware modifiziert, dass die Netzwerkkarte oder ein Netzwerkkabel Computer Datenverkehr aus dem Netzwerk empfangen, aber nicht an Datenverkehr im Netzwerk ermöglicht. In diesem Szenario der Computer erhält eine Abfrage, um zu bestimmen, ob diese Schnittstellen verfügt, die im gemischten Modus ausgeführt werden, aber die Antwort macht es nicht über das Netzwerk auf dem Computer, der die Abfrage gesendet. Allerdings Promqry und PromqryUI dienen diese Computer lokal statt remote abgefragt, um festzustellen, ob Schnittstellen im gemischten Modus ausgeführt werden.

Hinweise zu Virtual PC und Virtual Server

Promqry und PromqryUI meldet, dass die physikalische Schnittstelle im Promiscuous-Modus auf einem Windows-Computer ausgeführt wird, die Microsoft Virtual PC und Microsoft Virtual Server ausgeführt wird. Virtual PC und Virtual Server konfiguriere physischen Hostschnittstelle im gemischten Modus ausgeführt.

Promqry und PromqryUI Bericht, der die Hostschnittstelle im Promiscuous Mode in einer der folgenden Situationen ausgeführt wird:
  • Virtual PC oder Server konfiguriert der Host physische Schnittstelle. Zum Beispiel ist virtual PC oder Server direkt an Hostnetzwerk statt im lokalen Netzwerk konfiguriert oder konfiguriert hinter einer Schnittstelle, die zum Durchführen von Network Address Translation (NAT) konfiguriert ist.
  • Eine Anwendung wie einem Netzwerksniffer hat Netzwerkschnittstelle im Promiscuous-Modus ausführen des Host-Computers konfiguriert. Wenn der Hostcomputer abgefragt wird, wird eine der Schnittstellen des Host-Computers im gemischten Modus ausgeführt wird.
Promqry und PromqryUI Bericht, der die Schnittstelle des Hosts nicht im gemischten Modus in den folgenden Situationen ausgeführt wird:
  • Virtual PC oder Server eigene lokale Netzwerk konfiguriert ist oder so konfiguriert, dass eine gemeinsame NAT-Verbindung verwenden. Beispielsweise wird virtual PC oder Server nicht konfiguriert der Host physikalische Schnittstelle. In eine dieser Konfigurationen wird selbst wenn virtual PC oder Server einen Netzwerksniffer, der die Schnittstelle zum Ausführen im gemischten Modus Promqry konfiguriert und PromqryUI melden, die Schnittstelle nicht im gemischten Modus ausgeführt. Obwohl die Schnittstelle von virtual PC oder Server im gemischten Modus ausgeführt wird, werden die Schnittstelle nur Netzwerkverkehr zu entdecken, die an und von eigener IP-Adresse gesendet. Sie dürfen zu den Datenverkehr im Subnetz, der mit verbunden ist.

Promqry 1.0-Verwendung

Promqry ist ein Befehlszeilentool, das auch in Skripts verwendet werden kann. Promqry fragt Computer für Schnittstellen, die im gemischten Modus ausgeführt werden.

Zum Abfragen des lokalen Computers Schnittstellen führen Sie den Befehl promqry.exe aus .

Hinweise
  • Gibt 0 (null), wenn sich Schnittstellen im gemischten Modus ausgeführt werden.
  • Gibt 1 zurück, wenn keine Schnittstelle gefunden im gemischten Modus ausgeführt werden.
  • Gibt 99, wenn ein Fehler auftritt.
  • Die Optionen Np und nv gelten nicht für eine lokale Abfrage.
Führen Sie zum Abfragen von einem Remotecomputer Schnittstellen der promqry.exe Remote_IP | Null [-nv]

Hinweise
  • Gibt 0 (null), wenn sich Schnittstellen im gemischten Modus ausgeführt werden.
  • Gibt 1 zurück, wenn keine Schnittstelle gefunden im gemischten Modus ausgeführt werden.
  • Gibt 99, wenn ein Fehler auftritt.
  • Die nv -Option bedeutet, dass keine ausführliche Ausgabe. Die Option gibt nur Fehler und Computer mit Schnittstellen, die im gemischten Modus ausgeführt werden.
Abfrage über remote Computer Schnittstellen führen die promqry.exe Start_remote_IP:end_remote_IP [-Np] [-nv] Befehl.

Hinweise
  • Der Wert des Start_remote_IP muss niedriger als der Wert des End_remote_IP.
  • NP bedeutet, dass kein Ping vor der Abfrage.
  • NP gilt nur, wenn mehrere Computer Abfragen.
  • NV bedeutet, dass keine ausführliche Ausgabe. Die Option gibt nur Fehler und Computer mit Schnittstellen, die im gemischten Modus ausgeführt werden.

Verwendung PromqryUI 1.0

PromqryUI Schnittstelle besteht aus zwei Bereichen. Linken Bereich listet die Systeme auf Abfrage, und der rechte Bereich zeigt die Ausgabe, die beim Klicken auf die Schaltfläche Abfrage starten generiert.
PromqryUI main window

Klicken Sie auf Hinzufügen, um Systeme in die Liste der Systeme Abfragen hinzufügen. Sie werden gefragt, ob Sie ein einzelnes System oder eine Reihe von Systemen zur Liste hinzufügen möchten.
Select Addition Type dialog box

Einzelne Systeme können nach Namen oder IP-Adresse hinzugefügt werden. PromqryUI versucht ein Namen hinzugefügt, den Namen einer IP-Adresse auflösen, wenn Abfrage starten klicken. Wenn der Name nicht in eine IP-Adresse aufzulösen, schlägt die Abfrage fehl.
Add System to Query dialog box

Beim Hinzufügen von Systemen zur Liste der Systeme Abfrage muss die Start-IP-Adresse die IP-Adresse unterschreiten.
Add Range of Systems to Query dialog box

Nachdem Sie Systeme hinzufügen, klicken Sie auf die Kästchen neben den oder die Systeme aus, denen Sie abfragen möchten. Systeme und nicht ausgewählte Bereiche werden nicht abgefragt werden, beim Klicken auf die Schaltfläche Abfrage starten.
Select the systems you want to query

Systeme, die der Liste hinzugefügten PromqryUI gewohnt Beenden automatisch gespeichert (mithilfe der
Datei, beenden im Menü Element oder Feld). Beim nächsten Start PromqryUI, wird auf Systemen Abfrageliste automatisch ausgefüllt, Systeme und Bereiche, die gespeichert wurden.

Im Menü Bearbeiten können Sie die Option Ping und der oben beschriebenen Option verbose.
Ping Before Query option and Verbose Output option

Drücken Sie die Abfrage starten zu ausgewählten Systemen abzufragen. Im ausführlichen Modus ist jede Schnittstelle und ob jede Schnittstelle im gemischten Modus ausgeführt wird.

Wenn keine Schnittstelle gefunden im gemischten Modus ausgeführt werden, erhalten Sie eine Meldung ähnlich der unten in der Grafik angezeigt.

Query Result output dialog (no interfaces are found in Promiscuous mode)

Wenn eine Schnittstelle gefunden wird im gemischten Modus ausgeführt werden, erhalten Sie eine Meldung ähnlich der unten in der Grafik angezeigt.

Query Result output dialog (an interface is found in Promiscuous mode)

Beim PromqryUI (oder Promqry) ein Host mit einer Schnittstelle, die im gemischten Modus ausgeführt wird, verwendet PromqryUI WMI zum Abfragen des Hosts Weitere Informationen zu diesem Host zu erleichtern. Folgendes ist ein Beispiel für diese Daten:
Computername: Arbeitsplatz
Domäne: contoso.com
Hersteller: Dell Computer Corporation
Modell: Precision WorkStation 340
Primärer Besitzer: John Smith
Angemeldete Benutzer: contoso\user1
Betrieb: Microsoft(R) Windows(R) Server 2003 Enterprise Edition
Organisation: Contoso Corp.
Eigenschaften

Artikelnummer: 892853 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback