Berapa banyak byte yang menempati nmap sederhana untuk sebuah host?

9

Hari ini manajer TI menjadi marah karena saya menggunakan nmap pada 3 server yang saya kelola untuk melihat port apa yang mereka buka. Saya tahu saya bisa menggunakan netstat di dalam shell host.

Dia mengatakan kepada saya bahwa "Jika jaringan mati karena nmap saya akan dihukum". Saya ingin tahu secara teknis berapa banyak bandwidth jaringan / byte yang akan mengambil nmap 192.168.1.xoutput:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds
networking nmap JorgeeFG
sumber

Jawaban:

12

Ini cukup mudah untuk diukur, setidaknya jika Anda memetakan host mesin Anda tidak berkomunikasi dengannya. Cukup gunakan tcpdump atau wireshark untuk menangkap lalu lintas, terbatas pada alamat IP itu. Anda juga bisa menggunakan penghitung iptables, dll.

Saya melakukannya (menggunakan wireshark), mesin yang saya uji memiliki lebih sedikit port TCP terbuka (5), tetapi totalnya adalah paket 2009, 118.474 byte. Itu butuh 1,4 detik, jadi 1435 pps atau 677 kbps. Tidak ada yang harus menghapus jaringan yang dikonfigurasi secara wajar.

Melakukan target tambahan berpotensi membanjiri pelacakan koneksi firewall stateful, jika pemindaian melewati firewall. Dan tentu saja menjalankan nmap cenderung menyebabkan sistem deteksi intrusi menjadi alarm — berpotensi menghabiskan waktu seseorang untuk menyelidiki.

Akhirnya, nmap (secara default) tidak memeriksa semua port dan IDS berbasis host dapat mendeteksi dan merespons pemindaian — keduanya berarti Anda tidak perlu mendapatkan jawaban yang akurat.

derobert
sumber
1
Sehingga dibutuhkan bandwidth jaringan yang lebih sedikit daripada melampirkan foto dalam surat. Terima kasih
JorgeeFG
4
@Jorge, ini bukan penggunaan bandwidth tinggi yang menyebabkan jaringan turun. Mentransfer satu peta-byte melalui satu koneksi TCP misalnya tidak akan menurunkan jaringan. Beberapa jenis lalu lintas tertentu dapat memiliki beberapa konsekuensi buruk.
Stéphane Chazelas
@ StéphaneChazelas Saya sudah membaca jawaban Anda dan ini adalah poin yang sangat bagus dan saya akan memperhitungkannya. Terima kasih! +1
JorgeeFG
1
@Jorge Tidak. Ini akan menjadi 118474 ÷ 1,4 ÷ 1024≈83 KiB / s atau 118474 ÷ 1,4 ÷ 1000≈85 kB / s (1024 - vs 1000 - definisi kilobyte). Tetapi bandwidth secara tradisional diukur dalam bit per detik, dan dengan 1000-bit-per-kilobit, jadi ≈677 kbps. (Semua angka itu telah dibulatkan, itulah sebabnya 677 ÷ 8 ≠ 85.)
derobert
1
Nmap sendiri dapat memberi tahu Anda berapa banyak byte yang dikirimkan untuk beberapa jenis pemindaian, ketika Anda menggunakan -vflag:Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)
bonsaiviking
8

Saya telah melihat (rusak) smart switch turun karena aktivitas nmap, tapi saat itulah nmapping subnet (jadi ARP traffic untuk banyak titik akhir yang berbeda). Itu mungkin jenis masalah yang dia pikirkan.

Sekarang Intrusion Detection Systems mencoba dan mendeteksi aktivitas pemindaian port dan dapat dikonfigurasi untuk memblokir alamat IP host yang melakukan pemindaian.

Jika ada router SNAT di antara Anda dan host target, dan IDS antara router dan host target, maka alamat IP yang menyamar dari router tersebut mungkin akan diblokir karena akan menjadi yang muncul sebagai sumber pemindaian tersebut. . Itu dapat mempengaruhi konektivitas ke semua jaringan di luar IDS itu.

Selain itu, napping satu host pada subnet yang sama tidak akan menghasilkan banyak traffic atau menyebabkan gangguan (selain pada host pengirim dan penerima).

Stéphane Chazelas
sumber
1

Apakah Anda seorang administrator jaringan? Jika tidak, saya pikir manajer TI Anda tidak khawatir dengan penggunaan bandwidth yang berlebihan tetapi dengan fakta bahwa 1) Anda mengutak-atik jaringan dan 2) pemindaian nmap dapat merusak aplikasi :

Juga harus dicatat bahwa Nmap telah dikenal untuk merusak beberapa aplikasi yang ditulis dengan buruk, tumpukan TCP / IP, dan bahkan sistem operasi. Nmap tidak boleh dijalankan melawan sistem kritis misi kecuali Anda siap untuk menderita downtime. Kami mengakui di sini bahwa Nmap dapat menyebabkan crash sistem atau jaringan Anda dan kami menafikan semua tanggung jawab atas segala kerusakan atau masalah yang disebabkan oleh Nmap. Karena sedikit risiko crash dan karena beberapa topi hitam suka menggunakan Nmap untuk pengintaian sebelum menyerang sistem, ada administrator yang menjadi marah dan mungkin mengeluh ketika sistem mereka dipindai. Oleh karena itu, seringkali disarankan untuk meminta izin sebelum melakukan pemindaian jaringan yang ringan.

Catatan yang harus nmap crash aplikasi, itu karena aplikasi ditulis dengan buruk, bukan kesalahan nmap. Nmap adalah alat yang dikenal dan berguna yang harus digunakan secara luas oleh admin jaringan ketika mengelola jaringan mereka sendiri.

dr_
sumber
Pertanyaannya dengan jelas menyatakan bahwa ia mengelola server target. Dengan anggapan itu benar, maka saya akan mempertimbangkan pembenaran yang cukup untuk menjalankan nmap di server. Anda tidak perlu mengelola seluruh jalur jaringan antara perintah nmap dan server, Anda hanya perlu menjadi pengguna yang sah dari jaringan itu. Tujuan jaringan adalah untuk mentransfer paket di antara titik akhir tanpa menafsirkan konten dari paket tersebut. Jika administrator jaringan memilih untuk menyimpang dari ini dan dalam proses membuat jaringan mereka kurang stabil, saya katakan menyalahkan administrator, bukan pengguna.
kasperd
Saya setuju dengan Anda, tetapi saya juga mengerti bagaimana seorang manajer TI yang merupakan "orang spesial" dan mungkin tidak kompeten dalam pekerjaannya.
dr_
Bagaimana menghadapi seorang manajer yang memiliki pendapat tentang bidang-bidang yang tidak dia ketahui bukanlah pertanyaan yang tidak umum sekalipun. Tetapi mungkin cocok untuk workplace.stackexchange.com
kasperd