Описание Promqry 1.0 и PromqryUI 1.0

Обзор

Сеть «прослушивания» предназначен для сбора данных, передаваемых по сети. Данные можно использовать в различных целях, включая анализ сетевого трафика, устранение неполадок и обеспечения безопасности. Тем не менее данные могут использоваться для целей неподходящих, например сетевой атаки. В этой статье описывается два средства, Promqry и PromqryUI, которые позволяют обнаруживать средств прослушивания сети под управлением Microsoft Windows Server 2003, Microsoft Windows XP и Microsoft Windows 2000.

Promqry является средством командной строки, который также может использоваться в сценарии. PromqryUI — это средство с графическим пользовательским интерфейсом Windows. Оба средства имеют те же основные функциональные возможности:
  • Интерфейсы для запроса локальной компьютерной сети
  • Чтобы запросить интерфейсы одного удаленного компьютера
  • Запрос диапазона интерфейсы удаленных компьютеров
Promqry и PromqryUI требуется платформа.NET Framework Microsoft для запуска и средства должны выполняться в контексте безопасности администратора. Кроме того эти средства имеют следующие ограничения:
  • Они не может обнаружить изолированных средств прослушивания.
  • Они обнаруживают анализаторы пакетов, запущенных на операционной системы до Microsoft Windows 2000.
  • Они не может обнаружить удаленно анализаторы пакетов, работающих в системах Windows где был изменен специально, чтобы избежать обнаружения сетевого оборудования.
В конце статьи содержатся сведения об использовании Promqry 1.0 и PromqryUI 1.0.

ВВЕДЕНИЕ

В этой статье описывается два средства, которые позволяют обнаруживать средство прослушивания сети, на котором выполняется на компьютере под управлением Windows Server 2003, Windows XP или Windows 2000.

Дополнительные сведения

Сведения общего характера


Сеть «прослушивания» является программного и аппаратного обеспечения, предназначенный для сбора данных, передаваемых по сети. Средство прослушивания собирает данные можно использовать в различных целях, включая анализ сетевого трафика, устранение неполадок и обеспечения безопасности. Этот тип данных используется также для вредоносных действий, включая пароль для взлома и сети сопоставления (reconnaissance). От пассивных сетевых атак этого типа может быть трудно обнаружить.

Средство прослушивания сети может работать в одном из двух режимов:
  • Без сквозной режим
  • Сквозной режим
Средств прослушивания сети, которые обычно не выполняются в сквозной режим сбора данных из сети, предназначенного для или отправленных с компьютера, на котором выполняется средство прослушивания. Этот трафик может включать одноадресной рассылки, широковещательный и многоадресный трафик.

Сквозной многоадресный режим — это состояние, в котором сетевой адаптер копирует все пакеты, проходящие по сети на локальный буфер, вне зависимости от адреса назначения. Этот режим позволяет средств прослушивания сети для записи всего сетевого трафика локальной подсети прослушивания или виртуальной локальной сети (VLAN). Опять же этот трафик может включать одноадресной рассылки, широковещательный и многоадресный трафик. Можно настроить коммутатор для ограничения этого действия, чтобы прослушивания сети можно собирать только данные, пересылаемые с компьютером, на котором выполняется средство прослушивания (например, порт коммутатора, подключенном к компьютеру, на котором выполняется средство прослушивания). Если на компьютере установлено сетевых интерфейсов, работающих в сквозной многоадресный режим, средство прослушивания сети может выполняться на компьютере.

Promqry и PromqryUI


Promqry и PromqryUI являются два средства обнаружения сетевых интерфейсов, работающих в сквозной многоадресный режим. Promqry-это средство командной строки, а PromqryUI — это средство с графическим пользовательским интерфейсом Windows. Оба средства имеют ту же базовую функциональность. Они могут точно определить, имеет ли управляемый компьютер сетевых интерфейсов, работающих в сквозной многоадресный режим, если компьютер работает под управлением Windows 2000 или более поздней версии. Эти средства не удалось обнаружить изолированных средств прослушивания или анализаторы пакетов, выполняющихся на компьютерах не-Microsoft Windows.

Как получить средства

Download Загрузите пакет Promqry.

Download Загрузите пакет PromqryUI.

Общие возможности

Promqry и PromqryUI можно выполнить следующие действия:
  • Запрос сетевых интерфейсов локального компьютера
  • Запрос интерфейсы одного удаленного компьютера
  • Запрос диапазона интерфейсы удаленных компьютеров
При запросе к диапазону компьютеров оба средства Ping-запрос (с помощью протокола ICMP) каждый удаленный компьютер в указанном диапазоне. Если обращение завершилось неудачно, например, если удаленный компьютер не подключен к сети или находится за брандмауэром, сетевые интерфейсы компьютера не удается запросить. Эта функция позволяет оба средства для запроса, так как они не будут тратить время, попытка запроса недоступен компьютеры быстрее указанного диапазона. Это ping может быть отключена для сетей, которые фильтруют ICMP, если это необходимо.

По умолчанию оба средства предоставляют подробный вывод. Подробный вывод может переключаться, предоставляется только сводные данные.

Требования

  • Оба средства для запуска требуется платформа.NET Framework. Таким образом требуется платформа.NET Framework, установленной на компьютере, с которого запускается Promqry или PromqryUI. Тем не менее платформа.NET Framework не установлена на удаленном компьютере, необходимо выполнить запрос. Дополнительные сведения о платформа.NET Framework посетите следующий веб-узел корпорации Майкрософт:
    http://msdn2.microsoft.com/en-us/netframework/aa569265.aspx
  • Чтобы использовать любое из этих средств для успешного выполнения запросов к компьютеру, необходимо запустить средства в контексте безопасности администратора на компьютере, на котором выполняется запрос.
  • Интерфейс находится на выполнение в сквозной режим оба инструмента используют инструментария управления Windows (WMI) к компьютерам запроса сведения. По умолчанию включается WMI в Windows 2000, Windows XP и Windows Server 2003.
    Дополнительные сведения о WMI посетите следующий веб-узел корпорации Майкрософт:http://msdn2.microsoft.com/en-us/library/aa384642.aspx
  • Так как Promqry и PromqryUI использовать WMI (и DCOM), средства должны иметь доступ для разных портов TCP/UDP, включая TCP-порт 135, при отправке запросов удаленных компьютеров.
    Сведения о подключении к удаленным компьютерам через брандмауэр с помощью WMI посетите следующий веб-узел корпорации Майкрософт:
    http://msdn2.microsoft.com/en-us/library/aa389286.aspx

Известные ограничения

Promqry и PromqryUI имеют некоторые ограничения, включая следующие ограничения:
  • Средства не может обнаружить изолированный анализаторы пакетов, например, устройств, которые предназначены для работы с единственной целью перехват сетевого трафика. Эти устройства можно использовать различные типы оборудования и программного обеспечения.
  • Средства обнаруживают анализаторы пакетов, выполняющихся на других системах, кроме Windows 2000, Windows XP, Windows Server 2003 и более поздних операционных систем Windows.
  • Эти средства не может обнаружить удаленно анализаторы пакетов, которые выполняются на компьютерах под управлением Windows, где был изменен специально, чтобы избежать обнаружения сетевого оборудования. Например устройство может быть изменена таким образом, чтобы сетевой адаптер или сетевой кабель позволяет компьютеру получать трафик из сети, но не отправлять трафик в сети. В этом случае компьютер получает запрос, чтобы определить, имеет ли интерфейсов, работающих в сквозной многоадресный режим, но ответа не сделать его обратно по сети для компьютера, отправившего запрос. Тем не менее Promqry и PromqryUI может использоваться для запроса этих компьютеров локально, а не удаленно, для определения выполнения интерфейсов в сквозной многоадресный режим.

Заметки на Virtual PC и Virtual Server

Promqry и PromqryUI могут сообщать, что физический интерфейс работает в сквозной режим компьютера под управлением Microsoft Virtual PC и Microsoft Virtual Server. Virtual PC и Virtual Server настроить физический интерфейс узла в сквозной многоадресный режим.

Отчет Promqry и PromqryUI, на котором запущен интерфейс узла в сквозной режим в любом из следующих условий:
  • Виртуальный ПК или сервер настроен на использование физического интерфейса хоста. Например виртуального компьютера или сервера напрямую подключен к сети узла вместо настройки собственной локальной сети либо должен находиться за интерфейс, который настроен на выполнение преобразования сетевых адресов (NAT).
  • Приложения, например средство прослушивания сети настроил сетевой интерфейс главного компьютера в сквозной многоадресный режим. При запросе на главном компьютере, он сообщает, что один из интерфейсов компьютера работает в сквозной многоадресный режим.
Отчет Promqry и PromqryUI, хост-интерфейс работает не в сквозной многоадресный режим при следующих условиях:
  • Виртуальный ПК или сервер настроен для использования локальной сети или настроен для использования общего подключения NAT. Например виртуальный компьютер или сервер не настроен на использование физический интерфейс узла. В одном из этих конфигураций даже в том случае, если виртуальный компьютер или сервер работает средство прослушивания сети, которая настраивает интерфейс в сквозной многоадресный режим, Promqry и PromqryUI о том, что интерфейс не работает в сквозной многоадресный режим. Хотя интерфейс виртуального ПК или сервера выполняется в сквозной многоадресный режим, этот интерфейс будет только для прослушивания сетевого трафика, отправляемого на и IP-адрес. Анализировать весь трафик, подключенного к подсети будет невозможно.

Использование Promqry 1.0

Promqry является средством командной строки, который также может использоваться в сценарии. Promqry запросы компьютеров для интерфейсов, работающих в сквозной многоадресный режим.

Чтобы запросить интерфейсов локального компьютера, выполните команду promqry.exe .

Примечания
  • Возвращает нуль (0), если все интерфейсы находятся на выполнение в сквозной многоадресный режим.
  • Возвращает 1, если отсутствуют интерфейсы не найдены на выполнение в сквозной многоадресный режим.
  • Возвращает 99, если произошла ошибка.
  • Именованные каналы и nv параметры недопустимы для локального запроса.
Чтобы запросить интерфейсов удаленного компьютера, запустите promqry.exe remote_IP | remote_name [-nv]

Примечания
  • Возвращает нуль (0), если все интерфейсы находятся на выполнение в сквозной многоадресный режим.
  • Возвращает 1, если отсутствуют интерфейсы не найдены на выполнение в сквозной многоадресный режим.
  • Возвращает 99, если произошла ошибка.
  • Параметр nv означает, что без подробного вывода. Параметр только выводит ошибки и компьютеры с интерфейсами, которые выполняются в сквозной многоадресный режим.
Чтобы запросить диапазон интерфейсов удаленных компьютеров, запустите promqry.exe start_remote_IP:end_remote_IP [-np] [-nv] команды.

Примечания
  • Значение start_remote_IP должно быть меньше, чем значение end_remote_IP.
  • именованные каналы означает, что нет ping перед запросом.
  • именованные каналы является допустимым только при запросе диапазону компьютеров.
  • NV означает, что без подробного вывода. Параметр только выводит ошибки и компьютеры с интерфейсами, которые выполняются в сквозной многоадресный режим.

Использование PromqryUI 1.0

Интерфейс PromqryUI делится на две области. Левая панель содержит список систем для запроса, а в правой области отображаются выходные данные, созданный при нажатии кнопки запустить запрос.
PromqryUI main window

Чтобы добавить список систем для запроса системы, нажмите кнопку Добавить. Вам будет нужно добавить в список единой системы или диапазон систем.
Select Addition Type dialog box

Одной системы могут быть добавлены по IP-адресу или по имени. Если добавляется имя, PromqryUI пытается разрешить имя в IP-адрес при нажатии кнопки запустить запрос. Если имя не удается разрешить в IP-адрес, запрос завершается неудачей.
Add System to Query dialog box

При добавлении в список систем запрос диапазона систем начальный IP-адрес должен быть меньше, чем конечный IP-адрес.
Add Range of Systems to Query dialog box

После добавления систем выберите флажок рядом с каждым или диапазон для выбора систем, которые необходимо выполнить запрос. Систем и диапазоны, которые не были выбраны, не запрашиваться, при нажатии кнопки запустить запрос.
Select the systems you want to query

Все системы, в которые были добавлены в список будет автоматически сохраняться при выходе PromqryUI обычным образом (с помощью
Меню файл, выход элемента или с помощью поля элемента управления). При загрузке PromqryUI, Систем для запроса списка автоматически заполняется систем и диапазоны, которые были сохранены.

В меню Правка можно использовать параметр «ping» и параметр "verbose", описанные выше.
Ping Before Query option and Verbose Output option

Нажмите кнопку запустить запрос для запуска запроса выбранных систем. В расширенном режиме перечисленных каждого интерфейса и следует ли каждый интерфейс работает в сквозной многоадресный режим.

Если интерфейсы не найдены на выполнение в сквозной многоадресный режим, вы получите сообщение, аналогичное сообщение, отображаемое на следующем рисунке.

Query Result output dialog (no interfaces are found in Promiscuous mode)

Если интерфейс выполняться в сквозной многоадресный режим, вы получите сообщение, отображаемое на следующем рисунке.

Query Result output dialog (an interface is found in Promiscuous mode)

При обнаружении узла, который имеет интерфейс, который работает в сквозной многоадресный режим, PromqryUI (или Promqry), PromqryUI использует WMI для запроса узла для получения дополнительных сведений для упрощения идентификации этого узла. Ниже приведен пример данных.
Имя компьютера: Мой компьютер
Домен: contoso.com
Производитель: Корпорация Dell Computer
Модель компьютера: рабочая станция Precision 340
Основной владелец: Иван Петров
Пользователя, выполнившего вход в систему: contoso\user1
Эксплуатация: Microsoft(R) Windows(R) Server 2003 Enterprise Edition
Организация: Компании Contoso Corp.
Свойства

Номер статьи: 892853 — последний просмотр: 23 февр. 2017 г. — редакция: 1

Отзывы и предложения