Ile bajtów zajmuje hostowi prostą nmap?

Dzisiaj kierownik IT się zdenerwował, ponieważ użyłem nmap na 3 serwerach, którym udało mi się zobaczyć, które porty mają otwarte. Wiem, że mogłem użyć netstat w powłoce hosta.

Powiedział mi, że „jeśli sieć przestanie działać z powodu nmap, zostanę ukarany”. Chciałbym wiedzieć technicznie, ile przepustowości sieci / bajtów zajęłoby dane nmap 192.168.1.xwyjściowe:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds

networking nmap

— JorgeeFG
źródło

Odpowiedzi:

Jest to wystarczająco łatwe do zmierzenia, przynajmniej jeśli nmapujesz hosta, z którym komputer nie komunikuje się w inny sposób. Wystarczy użyć tcpdump lub wireshark, aby przechwycić ruch ograniczony do tego adresu IP. Możesz także użyć liczników iptables itp.

Zrobiłem to (przy użyciu wireshark), maszyna, na której testowałem, ma mniej otwartych portów TCP (5), ale suma to pakiety z 2009 r., 118 474 bajtów. Zajęło to 1,4 sekundy, czyli 1435 pps lub 677 kbps. Żadna z nich nie powinna również usuwać rozsądnie skonfigurowanej sieci.

Wykonanie dodatkowych celów może potencjalnie przytłoczyć śledzenie stanu zapory ogniowej, jeśli skanowanie przeszło przez zaporę. I oczywiście uruchomienie nmap może wywołać alarm w dowolnym systemie wykrywania włamań - potencjalnie marnując czyjś czas na badanie.

Wreszcie nmap (domyślnie) nie sprawdza wszystkich portów, a systemy IDS oparte na hoście mogą wykrywać i odpowiadać na skanowanie - oba oznaczają, że niekoniecznie otrzymasz dokładne odpowiedzi.

— derobert
źródło

Dlatego zajmuje mniej pasma sieciowego niż dołączanie zdjęcia w wiadomości e-mail. Dzięki

— JorgeeFG,

@Jorge, to nie wysokie wykorzystanie przepustowości powoduje, że sieci przestają działać. Na przykład przeniesienie jednego peta-bajtu przez jedno połączenie TCP nie spowoduje awarii sieci. Niektóre określone rodzaje ruchu mogą mieć złe konsekwencje.

— Stéphane Chazelas

@ StéphaneChazelas Przeczytałem twoją odpowiedź i jest to bardzo dobra uwaga i wezmę ją pod uwagę. Dzięki! +1

— JorgeeFG

@Jorge No. To byłoby 118474 ÷ 1,4 ÷ 1024≈83 KiB / s lub 118474 ÷ 1,4 ÷ 1000≈85 kB / s (1024– 1000 definicji kilobajtów). Ale przepustowość jest tradycyjnie mierzona w bitach na sekundę, a przy 1000-bitów na kilobit, czyli 77677 kbps. (Wszystkie te liczby zostały zaokrąglone, dlatego 677 ÷ 8 ≠ 85.)

— derobert

Sam Nmap może powiedzieć, ile bajtów wysyła dla niektórych typów skanowania, gdy używasz -vflagi:Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)

— bonsaiviking

Widziałem (zepsute) inteligentne przełączniki spadające z powodu aktywności nmap, ale było to podczas nmapsowania podsieci (więc ruch ARP dla wielu różnych punktów końcowych). To może być problem, o którym myśli.

Teraz systemy wykrywania włamań próbują wykryć aktywność skanowania portów i mogą być skonfigurowane do blokowania adresu IP hosta wykonującego skanowanie.

Jeśli pomiędzy tobą a hostem docelowym znajduje się router SNATing i IDS między tym routerem a hostem docelowym, maskaradujący adres IP tego routera może zostać zablokowany, ponieważ byłby tym, który pojawiałby się jako źródło tych skanów . Może to wpłynąć na łączność ze wszystkimi sieciami poza tym systemem IDS.

Poza tym mapowanie pojedynczego hosta w tej samej podsieci nie będzie generować dużego ruchu ani powodować żadnych zakłóceń (innych niż na hoście wysyłającym i odbierającym).

— Stéphane Chazelas
źródło

Czy jesteś administratorem sieci? Jeśli tak nie jest, myślę, że twój kierownik IT nie martwił się nadmiernym wykorzystaniem przepustowości, ale raczej faktem, że 1) majstrowałeś przy sieci i 2) skanowanie nmap mogło spowodować awarię aplikacji :

Należy również zauważyć, że Nmap powoduje awarie niektórych źle napisanych aplikacji, stosów TCP / IP, a nawet systemów operacyjnych. Nmap nigdy nie powinien być uruchamiany przeciwko systemom o znaczeniu krytycznym, chyba że jesteś przygotowany na cierpienie przestojów. Uznajemy w tym miejscu, że Nmap może spowodować awarię systemów lub sieci i zrzekamy się wszelkiej odpowiedzialności za jakiekolwiek szkody lub problemy, które może spowodować Nmap. Z powodu niewielkiego ryzyka awarii i ponieważ kilka czarnych czapek lubi używać Nmapa do rozpoznania przed atakowaniem systemów, administratorzy są zdenerwowani i mogą narzekać, gdy ich system zostanie przeskanowany. Dlatego często zaleca się zwrócenie się o pozwolenie przed wykonaniem nawet lekkiego skanu sieci.

Zauważ, że jeśli nmap spowoduje awarię aplikacji, to dlatego, że aplikacja jest źle napisana, a nie wina nmap. Nmap jest dobrze rozpoznawalnym i użytecznym narzędziem, które powinno być szeroko stosowane przez administratorów sieci podczas zarządzania własną siecią.

— dr_
źródło

Pytanie wyraźnie stwierdza, że zarządza serwerami docelowymi. Zakładając, że to prawda, uważam to za wystarczające uzasadnienie do uruchomienia nmap na serwerach. Nie musisz zarządzać całą ścieżką sieciową między poleceniem nmap a serwerem, wystarczy być prawowitym użytkownikiem tej sieci. Celem sieci jest przesyłanie pakietów między punktami końcowymi bez interpretowania zawartości tych pakietów. Jeśli administrator sieci zdecyduje się odejść od tego, a tym samym sprawi, że ich sieć będzie mniej stabilna, to obwiniam administratora, a nie użytkowników.

— kasperd

Zgadzam się z tobą, ale rozumiem również, jak zareagowałby menedżer IT, który jest „osobą specjalną” i prawdopodobnie mało kompetentną w swojej pracy.

— dr_

Jak radzić sobie z menedżerem, który ma opinie na temat obszarów, o których nie ma wiedzy, nie jest jednak pytaniem uniksowym. Ale może być odpowiedni dla workplace.stackexchange.com

— kasperd