Detectando Sniffers na Rede

By | 31 de agosto de 2009
Print Friendly, PDF & Email

Um “Sniffer” de rede é um software ou hardware criado para obter os dados que passam por uma rede.
Os sniffers deixam a placa de rede no estado promiscuo permitindo a captura do quadros que passam pela rede para um buffer local, independentemente do endereço de destino.

Se um computador tiver interfaces de rede em execução no modo promíscuo, é possível que haja um sniffer de rede em execução no computador.

Promqry e PromqryUI

Promqry e PromqryUI são duas ferramentas que detectam interfaces de rede em execução no modo promíscuo. Promqry é uma ferramenta de linha de comando e PromqryUI, uma ferramenta com interface visual do Windows.

Elas são capazes de determinar com precisão se um computador gerenciado possui interfaces de rede em execução no modo promíscuo caso ele esteja executando o Windows 2000 ou uma versão posterior.
Essas ferramentas não detectam sniffers autônomos ou que estejam em execução em computadores sem o Microsoft Windows.

Maiores informações no http://support.microsoft.com/kb/892853/pt-br

DownloadBaixe a ferramenta Promqry



Utilizando o Promqry


Para consultar o computador localmente basta executar a ferramenta na linha de comando:
c:\> Promqry

Ela irá apresentar os resultados na tela, como por exemplo:
———————————————————————————
Active: True
InstanceName:
Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2
NEGATIVE: Promiscuous mode currently NOT enabled

System Summary
NEGATIVE: no interfaces on system found in promiscuous mode
———————————————————————————

Para consultar um intervalo de endereços IPs, basta executar o comando:
Neste exemplo será verificado o intervalo 192.168.0.1 até 192.168.0.10

c:\> Promqry 192.168.0.1:192.168.0.10

É possivel utilizar os parametros:
-nv (Modo no-verbose – Exibe informações simples na tela)
-np (Não envia um ping antes da consulta)

Utilizando o PromqryUI

Assim como o promqry o promqryUI possui a mesma funcionalidade básica, só que no modo gráfico.

 

Artigo migrado – 7325 acessos até a data de migração.