Wie viele Bytes belegen eine einfache nmap für einen Host?

9

Heute wurde der IT-Manager wütend, weil ich nmap auf den drei Servern verwendet habe, auf denen ich sehe, welche Ports sie geöffnet haben. Ich weiß, ich hätte netstat in der Host-Shell verwenden können.

Er sagte mir: "Wenn das Netzwerk wegen nmap ausfällt, werde ich bestraft." Ich würde gerne technisch wissen, wie viele Netzwerkbandbreiten / Bytes nmap 192.168.1.xwelche Ausgänge benötigen würden :

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds
JorgeeFG
quelle

Antworten:

12

Dies ist leicht zu messen, zumindest wenn Sie einen Host zuordnen, mit dem Ihr Computer sonst nicht kommuniziert. Verwenden Sie einfach tcpdump oder wireshark, um den Datenverkehr zu erfassen, der auf diese IP-Adresse beschränkt ist. Sie können auch iptables-Zähler usw. verwenden.

Ich habe dies getan (mit Wireshark), der Computer, auf dem ich getestet habe, hat weniger offene TCP-Ports (5), aber die Gesamtzahl betrug 2009 Pakete, 118.474 Bytes. Das dauerte 1,4 Sekunden, also 1435 pps oder 677 kbps. Weder sollte ein vernünftig konfiguriertes Netzwerk herunterfahren.

Das Durchführen zusätzlicher Ziele kann möglicherweise die Verbindungsverfolgung einer Stateful Firewall überfordern, wenn der Scan eine Firewall durchläuft. Und natürlich führt das Ausführen von nmap wahrscheinlich dazu, dass ein Intrusion Detection-System alarmiert - was möglicherweise die Zeit für die Untersuchung einer Person verschwendet.

Schließlich überprüft nmap (standardmäßig) nicht alle Ports, und hostbasierte IDSs erkennen möglicherweise den Scan und reagieren darauf. Beides bedeutet, dass Sie nicht unbedingt genaue Antworten erhalten.

derobert
quelle
1
Es ist also weniger Netzwerkbandbreite erforderlich als das Anhängen eines Fotos an eine E-Mail. Danke
JorgeeFG
4
@Jorge, es ist nicht die hohe Bandbreitennutzung , die dazu führt, dass Netzwerke ausfallen . Wenn Sie beispielsweise ein Peta-Byte über eine TCP-Verbindung übertragen, wird ein Netzwerk nicht heruntergefahren. Einige bestimmte Arten von Verkehr können einige schlimme Folgen haben.
Stéphane Chazelas
@ StéphaneChazelas Ich habe Ihre Antwort gelesen und es ist ein sehr guter Punkt und ich werde es berücksichtigen. Vielen Dank! +1
JorgeeFG
1
@Jorge Nein. Es wäre 118474 ÷ 1,4 ÷ 1024≈83 KiB / s oder 118474 ÷ 1,4 ÷ 1000≈85 kB / s (1024- vs. 1000- Definition von Kilobyte). Die Bandbreite wird jedoch traditionell in Bit pro Sekunde und mit 1000 Bit pro Kilobit gemessen, also 677 kbps. (Alle diese Zahlen wurden gerundet, weshalb 677 ÷ 8 ≠ 85.)
derobert
1
Nmap selbst kann Ihnen sagen, wie viele Bytes es für einige Scan-Typen sendet, wenn Sie das -vFlag verwenden:Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)
Bonsaiviking
8

Ich habe gesehen, dass (defekte) Smart Switches aufgrund von nmap-Aktivitäten ausfallen, aber das war beim Nmapping eines Subnetzes (also ARP-Verkehr für viele verschiedene Endpunkte). Das könnte das Problem sein, an das er denkt.

Jetzt versuchen Intrusion Detection-Systeme, die Port-Scan-Aktivität zu erkennen, und sind möglicherweise so konfiguriert, dass sie die IP-Adresse des Hosts blockieren, der den Scan durchführt.

Wenn sich zwischen Ihnen und dem Zielhost ein SNATing-Router und zwischen diesem Router und dem Zielhost ein IDS befindet, wird die maskierende IP-Adresse dieses Routers möglicherweise blockiert, da sie als Quelle für diese Scans angezeigt wird . Dies könnte die Konnektivität zu allen Netzwerken außerhalb dieses IDS beeinträchtigen.

Abgesehen davon wird durch das Zuordnen eines einzelnen Hosts im selben Subnetz nicht viel Datenverkehr generiert oder Störungen verursacht (außer auf dem sendenden und empfangenden Host).

Stéphane Chazelas
quelle
1

Sind Sie ein Netzwerkadministrator? Wenn nicht, war Ihr IT-Manager meines Erachtens nicht besorgt über die übermäßige Nutzung der Bandbreite, sondern darüber, dass 1) Sie am Netzwerk herumgebastelt haben und 2) das Scannen mit nmap Anwendungen zum Absturz bringen könnte :

Es sollte auch beachtet werden, dass bekannt ist, dass Nmap bestimmte schlecht geschriebene Anwendungen, TCP / IP-Stacks und sogar Betriebssysteme zum Absturz bringt. Nmap sollte niemals gegen geschäftskritische Systeme ausgeführt werden, es sei denn, Sie sind bereit, Ausfallzeiten zu erleiden. Wir erkennen hier an, dass Nmap Ihre Systeme oder Netzwerke zum Absturz bringen kann, und lehnen jede Haftung für Schäden oder Probleme ab, die Nmap verursachen könnte. Aufgrund des geringen Absturzrisikos und der Tatsache, dass einige schwarze Hüte Nmap gerne zur Aufklärung verwenden, bevor sie Systeme angreifen, gibt es Administratoren, die verärgert sind und sich möglicherweise beschweren, wenn ihr System gescannt wird. Daher ist es oft ratsam, eine Erlaubnis anzufordern, bevor auch nur ein leichter Scan eines Netzwerks durchgeführt wird.

Beachten Sie, dass nmap eine Anwendung zum Absturz bringen sollte, weil die Anwendung schlecht geschrieben ist und nicht die Schuld von nmap. Nmap ist ein anerkanntes und nützliches Tool, das von Netzwerkadministratoren bei der Verwaltung ihres eigenen Netzwerks häufig verwendet werden sollte.

DR_
quelle
Die Frage besagt eindeutig, dass er die Zielserver verwaltet. Unter der Annahme, dass dies zutrifft, würde ich diese ausreichende Rechtfertigung in Betracht ziehen, um nmap auf den Servern auszuführen. Sie müssen nicht den gesamten Netzwerkpfad zwischen dem Befehl nmap und dem Server verwalten, sondern müssen nur ein legitimer Benutzer dieses Netzwerks sein. Der Zweck des Netzwerks besteht darin, Pakete zwischen den Endpunkten zu übertragen, ohne den Inhalt dieser Pakete zu interpretieren. Sollte sich ein Netzwerkadministrator dafür entscheiden, davon abzuweichen und dabei sein Netzwerk weniger stabil zu machen, gebe ich dem Administrator die Schuld, nicht den Benutzern.
Kasperd
Ich stimme Ihnen zu, aber ich verstehe auch, wie ein IT-Manager, der eine "besondere Person" ist und wahrscheinlich nicht sehr kompetent in seiner Arbeit ist, reagieren würde.
dr_
Wie man mit einem Manager umgeht, der Meinungen zu Bereichen hat, über die er keine Kenntnisse hat, ist jedoch keine Unix-Frage. Aber es kann für arbeitsplatz
sein.stackexchange.com