Скільки байтів займає простий nmap для хоста?

Сьогодні ІТ-менеджер розсердився, тому що я використовував nmap на трьох серверах, які мені вдається побачити, які порти вони відкрили. Я знаю, що міг би використовувати netstat всередині оболонки хоста.

Він сказав мені, що "Якщо мережа знизиться через nmap, я був би покараний". Мені хотілося б технічно знати, скільки мережевих пропускних спроможностей / байтів займе nmap 192.168.1.xякий вихід:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds

networking nmap

— JorgeeFG
джерело

Відповіді:

Це досить просто для вимірювання, принаймні, якщо ви надішліть карту хоста, з якою машина не спілкується інакше. Просто використовуйте tcpdump або wireshark для отримання трафіку, обмеженого цією IP-адресою. Ви також можете використовувати лічильники iptables тощо.

Я зробив це (використовуючи wireshark), машина, на якій я тестувала, має менше відкритих портів TCP (5), але загальна сума склала 2009 пакети, 118 474 байт. Це зайняло 1,4 секунди, тож 1435 пікселів або 677 кбіт / с. Не слід також знімати розумно налаштовану мережу.

Додавання додаткових цілей потенційно може перешкодити відстеження з'єднання брандмауера, якщо сканування пройшло через брандмауер. І звичайно запуск nmap, ймовірно, спричинить тривогу будь-якої системи виявлення вторгнень - потенційно витрачаючи чийсь час на дослідження.

Нарешті, nmap (за замовчуванням) не перевіряє, чи всі порти, а базовані на хості IDS можуть виявляти та реагувати на сканування - обидва означають, що ви не обов'язково отримуєте точні відповіді.

— дероберт
джерело

Тому потрібно менше пропускної здатності мережі, ніж прикріплення фотографії до пошти. Спасибі

— JorgeeFG

@Jorge, не дуже високе використання пропускної здатності призводить до зменшення мереж. Наприклад, перенесення одного пета-байта через одне з'єднання TCP не призведе до того, що мережа буде знищена. Деякі конкретні види руху можуть мати погані наслідки.

— Стефан Шазелас

@ StéphaneChazelas Я прочитав вашу відповідь і це дуже вдалий момент, і я буду враховувати це. Дякую! +1

— JorgeeFG

@ Джордж Ні. Це було б 118474 ÷ 1,4 ÷ 1024≈83 Кб / с або 118474 ÷ 1,4 ÷ 1000≈85 кБ / с (1024- проти 1000- визначення кілобайт). Але пропускна здатність традиційно вимірюється в бітах на секунду, а з 1000 біт на кілобіт, так що ≈677 кбіт / с. (Усі ці числа закруглені, тому 677 ÷ 8 ≠ 85.)

— derobert

Сам Nmap може сказати, скільки байтів він надсилає для деяких типів сканування, коли ви використовуєте -vпрапор:Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)

— bonsaiviking

Я бачив (зламані) розумні комутатори, що знижуються через активність nmap, але це було під час nmapping підмережі (тому ARP-трафік для багатьох різних кінцевих точок). Це може бути проблема, про яку він думає.

Тепер системи виявлення вторгнень намагаються виявити активність сканування портів і можуть бути налаштовані на блокування IP-адреси хоста, що виконує сканування.

Якщо між вами та цільовим хостом є маршрутизатор SNATing та IDS між цим маршрутизатором та цільовим хостом, то IP-адреса маскуючого маршрутизатора, що маскується, може бути заблокована, оскільки це буде джерело цих сканувань. . Це може вплинути на підключення до всіх мереж за межами цього IDS.

Крім цього, nmapping одного хоста в одній підмережі не збирається генерувати багато трафіку або спричиняти будь-які зриви (окрім хоста, що надсилає та приймає).

— Стефан Хазелас
джерело

Ви адміністратор мережі? Якщо ви цього не зробите, я вважаю, що вашого ІТ-менеджера не турбує надмірне використання пропускної здатності, а скоріше той факт, що 1) ви повозилися з мережею та 2) сканування nmap може призвести до збоїв у програмах :

Слід також зазначити, що Nmap, як відомо, розбиває деякі погано написані програми, стеки TCP / IP і навіть операційні системи. Nmap ніколи не повинен працювати проти критично важливих систем, якщо ви не готові зазнавати простоїв. Тут ми визнаємо, що Nmap може зірвати ваші системи або мережі, і ми відмовляємося від будь-якої відповідальності за будь-який збиток або проблеми, які може спричинити Nmap. Через невеликий ризик аварій і через те, що кілька чорних капелюхів люблять використовувати Nmap для розвідки перед атакою на системи, є адміністратори, які засмучуються і можуть скаржитися при скануванні їх системи. Таким чином, часто доцільно вимагати дозволу, перш ніж робити навіть легке сканування мережі.

Зауважте, що якщо nmap завершує роботу програми, це тому, що програма написана погано, а не nmap. Nmap - це добре визнаний і корисний інструмент, який слід широко використовувати мережевим адміністраторам при керуванні власною мережею.

— доктор_
джерело

У питанні чітко зазначено, що він керує цільовими серверами. Якщо припустити, що це правда, то я вважаю це достатнім виправданням для запуску nmap на серверах. Вам не потрібно керувати усім мережевим шляхом між командою nmap та сервером, вам просто потрібно бути законним користувачем цієї мережі. Метою мережі є передача пакетів між кінцевими точками без інтерпретації вмісту цих пакетів. Якщо адміністратор мережі вирішив відхилитися від цього і в процесі зробить їх мережу менш стабільною, я кажу, що звинувачую в цьому адміністратора, а не користувачів.

— kasperd

Я згоден з вами, але я також розумію, як реагує ІТ-менеджер, який є "особливою людиною" і, мабуть, не дуже компетентний на своїй роботі.

— dr_

Як поводитися з менеджером, який має думки про сфери, про які він не знає, це не єдине питання. Але це може бути придатним для робочого

— місця.stackexchange.com