1.0 Promqry 및 PromqryUI 1.0에 대 한

요약

네트워크 "탐지기" 네트워크를 통해 전송 되는 데이터를 수집 하도록 설계 되었습니다. 데이터 문제 해결, 네트워크 트래픽 분석 및 보안을 비롯 하 여 다양 한 용도로 유용할 수 있습니다. 그러나 데이터 네트워크 공격 등 불법 목적을 위해 사용할 수 있습니다. 이 문서에서는 Promqry 및 PromqryUI, 두 가지 도구를 소개 수 있는 Microsoft Windows Server 2003, Microsoft Windows XP 및 Microsoft Windows 2000을 실행 하는 네트워크 스니퍼 감지.

Promqry 또한 스크립트에서 사용할 수 있는 명령줄 도구입니다. PromqryUI는 Windows 그래픽 사용자 인터페이스 도구입니다. 두 도구 모두 동일한 기본 기능을가지고:
  • 쿼리는 로컬 컴퓨터의 네트워크 인터페이스
  • 단일 원격 컴퓨터의 인터페이스 쿼리
  • 원격 컴퓨터에 인터페이스 범위 쿼리
Promqry 및 PromqryUI를 실행 하려면 Microsoft.NET Framework 필요로 하 고 관리자의 보안 컨텍스트로 도구를 실행 해야 합니다. 또한 도구는 다음과 같은 제한이 있습니다.
  • 독립 실행형 스니퍼 검색할 수 없습니다.
  • Microsoft Windows 2000 이전 운영 체제에서 실행 중인 스니퍼 검색할 수 없습니다.
  • 원격 감지를 방지 하기 위해 특별히 네트워크 하드웨어 수정 된 있는 Windows 시스템에서 실행 중인 스니퍼 검색할 수 없습니다.
본 문서의 끝부분에 1.0 Promqry 및 PromqryUI 1.0을 사용 하는 방법에 대 한 세부 정보가 제공 됩니다.

소개

이 문서에서는 Windows Server 2003, Windows XP 또는 Windows 2000을 실행 중인 컴퓨터에서 실행 되는 네트워크 스니퍼를 탐지 하는 데 사용할 수 있는 두 가지 도구를 소개 합니다.

자세한 내용

배경 정보


네트워크 "탐지기" 소프트웨어 및 하드웨어 네트워크를 통해 전송 되는 데이터를 수집 하도록 설계 된입니다. 패킷 감지를 수집 하는 데이터는 문제 해결, 네트워크 트래픽 분석 및 보안을 비롯 하 여 다양 한 용도로 유용할 수 있습니다. 데이터 도난, 암호 크랙, 및 매핑 (정찰) 네트워킹 포함 하 여, 불법 목적을 위해 이러한 유형의 데이터를 사용할 수도 있습니다. 수동 네트워크 공격이 유형을 검색 하도록 어려울 수 있습니다.

네트워크 스니퍼 두 모드 중 하나로 실행할 수 있습니다.
  • 비 무차별 모드
  • 무차별 모드
일반적으로 혼합 모드에서 실행 하지 않는 네트워크 스니퍼 보내는 또는 탐지기를 실행 하는 컴퓨터에서 보내는 네트워크에서 데이터를 수집 합니다. 이 트래픽은 유니캐스트, 브로드캐스트 및 멀티 캐스트 트래픽이 포함 될 수 있습니다.

무차별 모드를 네트워크 어댑터 카드는 대상 주소에 관계 없이 로컬 버퍼 네트워크를 통해 전달 하는 모든 프레임을 복사 하는 상태. 네트워크 해커를 스니퍼 로컬 서브넷 또는 가상 로컬 영역 네트워크 (VLAN)의 모든 네트워크 트래픽을 캡처할 수 있습니다. 이 트래픽에 다시 유니캐스트, 브로드캐스트 및 멀티 캐스트 트래픽이 포함될 수 있습니다. 네트워크 스니퍼 스니퍼 (예를 들어, 탐지기를 실행 하는 컴퓨터에 연결 된 스위치 포트)를 실행 하는 컴퓨터 간에 전송 되는 데이터만 수집할 수 있도록이 활동 제한 하려면 스위치를 구성할 수 있습니다. 컴퓨터에 네트워크 인터페이스 무차별 모드에서 실행 되는 경우 네트워크 스니퍼는 컴퓨터에서 실행할 수 있습니다.

Promqry 및 PromqryUI


Promqry 및 PromqryUI 무차별 모드로 실행 되는 네트워크 인터페이스를 검색 하는 두 가지 도구는. Promqry 명령줄 도구 이며 PromqryUI 있는 Windows 그래픽 사용자 인터페이스 도구입니다. 두 도구 모두 동일한 기본 기능을가지고. 정확 하 게 관리 되는 컴퓨터에 Windows 2000 또는 이후 버전 컴퓨터에서 실행 되 고 있으면 무차별 모드로 실행 되는 네트워크 인터페이스에 있는지 여부를 확인할 수 있습니다. 이 도구는 독립 실행형 스니퍼 또는 비 Microsoft Windows 기반 컴퓨터에서 실행 중인 스니퍼 검색할 수 없습니다.

도구를 구하는 방법

Download Promqry 패키지를 지금 다운로드 하십시오.

Download PromqryUI 패키지를 지금 다운로드 하십시오.

일반 기능

Promqry 및 PromqryUI 모두는 다음 작업을 수행할 수 있습니다.
  • 로컬 컴퓨터의 네트워크 인터페이스를 쿼리 합니다.
  • 단일 원격 컴퓨터의 인터페이스 쿼리
  • 원격 컴퓨터에 인터페이스 범위 쿼리
컴퓨터 범위를 쿼리하면 두 도구는 ping (ICMP 프로토콜을 사용 하 여) 지정 된 범위의 각 원격 컴퓨터. Ping이 실패 하면, 예를 들어, 원격 컴퓨터가 온라인 아니거나 방화벽 뒤에 있는 경우 컴퓨터의 네트워크 인터페이스는 쿼리할 수 없습니다. 이 기능은 두 도구를 연결할 수 없는 컴퓨터가 쿼리 하는 시간을 할애 하지 것입니다 때문에 지정한 범위를 빠르게 쿼리할 수 있습니다. 필요한 경우이 ping 기능은 ICMP, 필터 네트워크에 비활성화할 수 있습니다.

기본적으로 두 도구 모두 자세한 출력을 제공합니다. 자세한 정보 출력 오프 토글됩니다 요약 데이터만 제공 됩니다.

요구 사항

  • 두 도구는.NET Framework 실행 하는 데 필요 합니다. 따라서 Promqry 또는 PromqryUI 실행 하는 컴퓨터에 설치 된.NET Framework 있어야 합니다. 그러나.NET Framework 쿼리 하려는 원격 컴퓨터에 설치할 필요가 없습니다. .NET Framework 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
    http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  • 컴퓨터를 성공적으로 쿼리하려면 두 도구를 사용 하려면 쿼리 하는 컴퓨터에 관리자의 보안 컨텍스트로 도구를 실행 해야 합니다.
  • 인터페이스를 무차별 모드로 실행 되 고 있으면 두 도구 (WMI) 쿼리 컴퓨터에 정보를 사용 합니다. 기본적으로 WMI는 Windows 2000, Windows XP 및 Windows Server 2003에 포함 되어 있습니다.
    WMI에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오:http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  • Promqry 및 PromqryUI WMI (및 DCOM)을 사용 하므로 도구는 원격 컴퓨터를 쿼리할 때 TCP 포트 135를 비롯 한 다양 한 TCP/UDP 포트에 액세스할 수 있어야 합니다.
    WMI를 사용 하 여 방화벽을 통해 원격 컴퓨터에 연결 하는 방법에 대 한 내용은 다음 Microsoft 웹 사이트를 방문.
    http://msdn2.microsoft.com/en-us/library/aa389286.aspx

알려진된 제한 사항

Promqry 및 PromqryUI 일부의 한계가 등 다음과 같은 제한이 있습니다.
  • 도구는 독립 실행형 스니퍼, 네트워크 소통량을 스니핑의 목적 으로만 제조 된 장치 등을 검색할 수 없습니다. 이러한 장치는 다양 한 종류의 하드웨어 및 소프트웨어 사용 수 있습니다.
  • 도구는 Windows 2000, Windows XP, Windows Server 2003 및 이후 Windows 운영 체제 이외의 운영 체제에서 실행 중인 스니퍼 검색할 수 없습니다.
  • 도구 탐지를 방지 하기 위해 특별히 네트워크 하드웨어 수정 된 있는 Windows 기반 컴퓨터에서 실행 중인 스니퍼를 원격으로 검색할 수 없습니다. 예를 들어, 네트워크 인터페이스 카드나 네트워크 케이블 컴퓨터 네트워크에서 트래픽을 받을 수 있지만 네트워크에 트래픽을 보낼 수는 없습니다 수 있도록 하드웨어 수정할 수 있습니다. 이 시나리오에서는 컴퓨터가 무차별 모드로 실행 중인 인터페이스 되었는지 확인 하려면 쿼리를 받지만 응답 만들어지지는지 않습니다 네트워크를 통해 쿼리를 보낸 컴퓨터에. 그러나 Promqry 및 PromqryUI 쿼리할 이러한 컴퓨터에 로컬로 원격으로 대신 인터페이스 무차별 모드에서 실행 중인지를 사용할 수 있습니다.

가상 PC 및 가상 서버에 대 한 참고 사항

Microsoft 가상 PC 또는 Microsoft 가상 서버를 실행 하는 Windows 기반 컴퓨터에서 실제 인터페이스 무차별 모드로 실행 중인 Promqry 및 PromqryUI 보고할 수 있습니다. 가상 PC 및 가상 서버의 무차별 모드에서 실행 하는 호스트의 실제 인터페이스를 구성 합니다.

다음 조건 중 하나를 무차별 모드로 실행 하는 호스트의 인터페이스 Promqry 및 PromqryUI 보고서:
  • 가상 PC 또는 서버 호스트의 실제 인터페이스 사용 하도록 구성 됩니다. 예를 들어, 가상 PC 또는 서버가 직접 자체 로컬 네트워크에 구성 하는 대신 호스트 네트워크에 연결 하거나 뒤에 네트워크 주소 변환 (NAT) 수행 하도록 구성 된 인터페이스 구성.
  • 네트워크 스니퍼 같은 응용 프로그램은 호스트 컴퓨터의 네트워크 인터페이스 무차별 모드에서 실행 되도록 구성 했습니다. 호스트 컴퓨터를 쿼리하면 무차별 모드로 실행 되는 호스트 컴퓨터의 인터페이스 중 하나를 보고 합니다.
무차별 모드는 다음과 같은 경우에 호스트의 인터페이스를 실행 하지 않는 Promqry 및 PromqryUI 보고서:
  • 가상 PC 또는 서버 자체 로컬 네트워크를 사용 하도록 구성 된 또는 공유 NAT 연결을 사용 하도록 구성 됩니다. 예를 들어, 가상 PC 또는 서버 호스트의 실제 인터페이스를 사용 하지 구성 됩니다. 다음이 구성 중 하나에서 가상 PC 또는 서버 Promqry 무차별 모드로 실행 하려면 인터페이스를 구성 하는 네트워크 스니퍼 실행 하 고 PromqryUI 보고 하는 경우에 인터페이스에에서 실행 되지 않는 무차별 모드. 가상 PC 또는 서버의 인터페이스 무차별 모드에서 실행 되는 있지만 인터페이스 자체 IP 주소에서 보내는 네트워크 트래픽을 감지할 수 없게 됩니다. 에 연결 되어 있는 서브넷의 모든 트래픽을 패킷 감지 수 없습니다.

Promqry 1.0 사용

Promqry 또한 스크립트에서 사용할 수 있는 명령줄 도구입니다. Promqry 컴퓨터는 무차별 모드로 실행 중인 인터페이스에 대 한 쿼리.

로컬 컴퓨터의 인터페이스 쿼리, promqry.exe 명령을 실행 합니다.

참고
  • 인터페이스를 무차별 모드로 실행 하 고 발견 되 면 (0) 0을 반환 합니다.
  • 인터페이스가 무차별 모드로 실행 되 고 있으면 1을 반환 합니다.
  • 오류가 발생 하는 경우 99를 반환 합니다.
  • Npnv 옵션 로컬 쿼리에 대 한 올바르지 않습니다.
원격 컴퓨터의 인터페이스 쿼리를 실행 하면 promqry.exe remote_IP | remote_name [-nv]

참고
  • 인터페이스를 무차별 모드로 실행 하 고 발견 되 면 (0) 0을 반환 합니다.
  • 인터페이스가 무차별 모드로 실행 되 고 있으면 1을 반환 합니다.
  • 오류가 발생 하는 경우 99를 반환 합니다.
  • Nv 옵션은 자세한 출력을 하지 않습니다 의미 합니다. 옵션 오류 및 무차별 모드로 실행 되는 인터페이스를 사용 하는 컴퓨터에만 보고 합니다.
원격 컴퓨터에 인터페이스 범위 쿼리를 실행 하면 promqry.exe start_remote_IP:end_remote_IP [-np] [-nv] 명령입니다.

참고
  • Start_remote_IP 의 값이 end_remote_IP값 보다 작아야 합니다.
  • np 쿼리 전에 ping 하지 않음을 의미 합니다.
  • np 컴퓨터 범위를 쿼리 하는 경우에 유효 합니다.
  • nv 자세한 출력을 하지 않습니다 의미 합니다. 옵션 오류 및 무차별 모드로 실행 되는 인터페이스를 사용 하는 컴퓨터에만 보고 합니다.

PromqryUI 1.0 사용

PromqryUI 인터페이스에는 두 개의 창에 있습니다. 왼쪽된 창에서 쿼리에 체제 하 고 쿼리 시작 단추를 클릭할 때 생성 되는 출력 오른쪽 창에 표시 합니다.
PromqryUI main window

체제를 쿼리하려면 시스템 목록에 추가 하려면 추가클릭 합니다. 시스템 범위 또는 단일 시스템을 목록에 추가할 것인지 여부를 묻는 메시지가 표시 됩니다.
Select Addition Type dialog box

IP 주소 또는 이름으로 단일 시스템을 추가할 수 있습니다. 추가 되는 이름을 PromqryUI 쿼리 시작 단추를 클릭 하면 이름을 IP 주소로 확인 하려고 합니다. 이름을 IP 주소로 확인 되지 않으면 쿼리가 실패 합니다.
Add System to Query dialog box

다양 한 시스템 시스템 쿼리 목록에 추가할 때 시작 IP 주소 보다 작아야 끝 IP 주소.
Add Range of Systems to Query dialog box

시스템에 추가한 후 각 옆의 상자 또는 쿼리할 시스템을 선택 하려면 범위를 선택 하려면 클릭 합니다. 시스템과 선택 되지 않은 범위 쿼리 시작 단추를 클릭할 때 쿼리할 수 있습니다.
Select the systems you want to query

일반적인 방식으로 PromqryUI 끝낼 때 목록에 추가 하는 시스템을 자동으로 저장 됩니다 (사용 하 여 해당
파일, 끝내기 메뉴 항목 또는 컨트롤 상자를 사용 하 여). PromqryUI, 시작 하면 다음에 시스템을 쿼리 목록 시스템 및 저장 된 범위를 사용 하 여 자동 입력 됩니다.

편집 메뉴에서 ping 옵션과 앞에서 설명한 자세한 정보 표시 옵션을 설정 하려면 사용할 수 있습니다.
Ping Before Query option and Verbose Output option

선택 된 시스템을 쿼리 하기 위해 쿼리 시작 단추를 누릅니다. 자세한 정보 표시 모드에서 각 인터페이스 나열 되 고 각 인터페이스 무차별 모드로 실행 여부.

인터페이스가 무차별 모드로 실행 되 고 있으면 아래 그래픽에서 표시 되는 메시지와 비슷한 메시지가 나타납니다.

Query Result output dialog (no interfaces are found in Promiscuous mode)

인터페이스가 무차별 모드로 실행 되 고 있으면 아래 그래픽에서 표시 된 것과 비슷한 메시지가 나타납니다.

Query Result output dialog (an interface is found in Promiscuous mode)

PromqryUI 같거나 Promqry 무차별 모드로 실행 되는 인터페이스를 가진 호스트를 찾으면 PromqryUI WMI을 사용 하 여 쉽게 해당 호스트를 식별 하기 위해 추가 정보에 대 한 호스트 쿼리할. 다음은 이러한 데이터의 예입니다.
컴퓨터 이름: MYCOMPUTER
도메인: contoso.com
컴퓨터 제조업체: Dell 컴퓨터 회사
컴퓨터 모델: 정밀도 워크스테이션 340
기본 소유자: 홍길동
현재 로그온 한 사용자: contoso\user1
작동: 클릭 windows (r) Server 2003, Enterprise Edition
조직: 콘 토 소
속성

문서 ID: 892853 - 마지막 검토: 2017. 2. 7. - 수정: 1

피드백