Сколько байтов занимает простой nmap для хоста?

9

Сегодня ИТ-менеджер разозлился, потому что я использовал nmap на трех серверах, которые мне удалось узнать, какие порты у них открыты. Я знаю, что мог использовать netstat внутри оболочки хоста.

Он сказал мне: «Если сеть выйдет из строя из-за nmap, я буду наказан». Я хотел бы знать, технически, сколько пропускной способности сети / байтов будет принимать nmap 192.168.1.xкакие выходы:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds
JorgeeFG
источник

Ответы:

12

Это достаточно легко измерить, по крайней мере, если вы nmap хоста, с которым ваша машина не общается иначе. Просто используйте tcpdump или wireshark для захвата трафика, ограниченного этим IP-адресом. Вы также можете использовать счетчики iptables и т. Д.

Я сделал это (используя wireshark), на машине, на которой я тестировал, было меньше открытых TCP-портов (5), но общее количество составило 2009 пакетов, 118 474 байта. Это заняло 1,4 секунды, то есть 1435 pps или 677 kbps. Ни один не должен разрушать разумно настроенную сеть.

Выполнение дополнительных целей может потенциально нарушить отслеживание соединения брандмауэра с отслеживанием состояния, если сканирование проходило через брандмауэр. И, конечно же, запуск nmap может вызвать тревогу у любой системы обнаружения вторжений, что может привести к потере времени на расследование.

Наконец, nmap (по умолчанию) не проверяет все порты, и IDS на хосте могут обнаружить и ответить на сканирование - оба означают, что вы не обязательно получите точные ответы.

derobert
источник
1
Таким образом, требуется меньше сетевой полосы пропускания, чем прикрепление фотографии к почте. Спасибо
JorgeeFG
4
@Jorge, это не высокая пропускная способность, которая приводит к разрушению сетей. Например, передача одного петабайта через одно TCP-соединение не приведет к отключению сети. Некоторые конкретные типы трафика могут иметь некоторые плохие последствия.
Стефан Шазелас
@ StéphaneChazelas Я прочитал ваш ответ, и это очень хороший момент, и я приму его во внимание. Спасибо! +1
JorgeeFG
1
@ Джорджи Нет. Это будет 118474 ÷ 1,4 ÷ 1024≈83 КиБ / с или 118474 ÷ 1,4 ÷ 1000≈85 кБ / с (1024 - против 1000 - определение килобайта). Но пропускная способность традиционно измеряется в битах в секунду и 1000 бит на килобит, поэтому ≈677 кбит / с. (Все эти числа были округлены, поэтому 677 ÷ 8 ≠ 85.)
Дероберт
1
Сам Nmap может сказать вам, сколько байтов он отправляет для некоторых типов сканирования, когда вы используете -vфлаг:Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)
bonsaiviking
8

Я видел (неработающие) интеллектуальные коммутаторы, которые выходили из строя из-за активности nmap, но это было при nmapping подсети (поэтому трафик ARP для множества разных конечных точек). Это может быть та проблема, о которой он думает.

Теперь системы обнаружения вторжений пытаются обнаружить активность сканирования портов и могут быть настроены на блокировку IP-адреса хоста, выполняющего сканирование.

Если между вами и целевым хостом есть маршрутизатор SNATing, а между этим маршрутизатором и целевым хостом есть IDS, то маскарадный IP-адрес этого маршрутизатора может оказаться заблокированным, так как он будет источником этих сканирований. , Это может повлиять на подключение ко всем сетям за пределами этой IDS.

Кроме этого, отображение одного хоста в одной подсети не будет генерировать большой трафик или вызывать какие-либо сбои (кроме как на отправляющем и принимающем хосте).

Стефан Шазелас
источник
1

Вы администратор сети? Если нет, то я думаю, что ваш ИТ-менеджер был обеспокоен не чрезмерным использованием пропускной способности, а тем, что 1) вы работали с сетью и 2) сканирование nmap могло привести к сбою приложений :

Следует также отметить, что Nmap, как известно, приводит к сбою некоторых плохо написанных приложений, стеков TCP / IP и даже операционных систем. Nmap никогда не следует использовать против критически важных систем, если вы не готовы к простоям. Здесь мы признаем, что Nmap может привести к сбою ваших систем или сетей, и отказываемся от любой ответственности за любой ущерб или проблемы, которые может вызвать Nmap. Из-за небольшого риска сбоев и из-за того, что нескольким черным шляпам нравится использовать Nmap для разведки перед атакой систем, есть администраторы, которые расстраиваются и могут жаловаться, когда их система сканируется. Таким образом, часто рекомендуется запрашивать разрешение, прежде чем делать даже легкое сканирование сети.

Обратите внимание, что если nmap завершит работу приложения, это потому, что приложение написано плохо, а не ошибка nmap. Nmap - это общепризнанный и полезный инструмент, который должен широко использоваться сетевыми администраторами при управлении собственной сетью.

dr_
источник
В вопросе четко говорится, что он управляет целевыми серверами. Если предположить, что это правда, то я бы посчитал это достаточным основанием для запуска nmap на серверах. Вам не нужно управлять полным сетевым путем между командой nmap и сервером, вам просто нужно быть законным пользователем этой сети. Целью сети является передача пакетов между конечными точками без интерпретации содержимого этих пакетов. Если сетевой администратор решил отклониться от этого и в результате сделать свою сеть менее стабильной, я скажу, что виноват администратор, а не пользователи.
Касперд
Я согласен с вами, но я также понимаю, как отреагирует ИТ-менеджер, который является «особенным человеком» и, вероятно, не очень компетентным в своей работе.
dr_12
Как иметь дело с менеджером, который имеет мнения о тех областях, о которых он не знает, - это не вопрос юникса. Но это может подойти для workplace.stackexchange.com
kasperd