Quanti byte occupano una semplice nmap per un host?

9

Oggi il responsabile IT si è arrabbiato perché ho usato nmap sui 3 server che riesco a vedere quali porte avevano aperto. So che avrei potuto usare netstat all'interno della shell dell'host.

Mi disse che "Se la rete si interrompesse a causa di nmap sarei punito". Vorrei sapere tecnicamente quante bandwith / byte di rete prenderebbero nmap 192.168.1.xquali output:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds
networking  nmap 
JorgeeFG
fonte

Risposte:

12

Questo è abbastanza facile da misurare, almeno se nmap un host con il quale la tua macchina non sta comunicando. Basta usare tcpdump o WireShark per acquisire il traffico, limitato a quell'indirizzo IP. Puoi anche usare contatori iptables, ecc.

L'ho fatto (usando WireShark), la macchina su cui ho provato ha meno porte TCP aperte (5), ma i totali erano pacchetti 2009, 118.474 byte. Ci sono voluti 1,4 secondi, quindi 1435 pps o 677 kbps. Nessuno dei due dovrebbe abbattere una rete ragionevolmente configurata.

Fare ulteriori obiettivi potrebbe potenzialmente sopraffare il tracciamento della connessione di un firewall con stato, se la scansione passasse attraverso un firewall. E, naturalmente, l'esecuzione di nmap probabilmente causerà l'allarme di qualsiasi sistema di rilevamento delle intrusioni, potenzialmente facendo perdere tempo a indagare.

Infine, nmap (per impostazione predefinita) non controlla tutte le porte e gli IDS basati su host possono rilevare e rispondere alla scansione, entrambi significano che non ottieni necessariamente risposte accurate.

derobert
fonte
1
Quindi ci vuole meno banda di rete che allegare una foto in una mail. Grazie
JorgeeFG,
4
@Jorge, non è l' uso elevato della larghezza di banda che causa il crollo delle reti. Il trasferimento di un byte peta su una connessione TCP, ad esempio, non interromperà la rete. Alcuni tipi specifici di traffico possono avere conseguenze negative.
Stéphane Chazelas,
@ StéphaneChazelas Ho letto la tua risposta ed è un ottimo punto e lo terrò in considerazione. Grazie! +1
JorgeeFG,
1
@Jorge No. Sarebbe 118474 ÷ 1,4 ÷ 1024≈83 KiB / so 118474 ÷ 1,4 ÷ 1000≈85 kB / s (1024- contro la definizione di 1000 di kilobyte). Ma la larghezza di banda viene tradizionalmente misurata in bit al secondo e con 1000 bit per kilobit, quindi ≈677 kbps. (Tutti questi numeri sono stati arrotondati, motivo per cui 677 ÷ 8 ≠ 85.)
derobert
1
Nmap stesso può dirti quanti byte invia per alcuni tipi di scansione, quando si utilizza il -vflag:Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)
bonsaiviking,
8

Ho visto gli interruttori intelligenti (rotti) in calo a causa dell'attività nmap, ma era quando nmapping una sottorete (quindi il traffico ARP per molti endpoint diversi). Potrebbe essere il tipo di problema a cui sta pensando.

Ora i sistemi di rilevamento delle intrusioni provano a rilevare l'attività di scansione delle porte e possono essere configurati per bloccare l'indirizzo IP dell'host che esegue la scansione.

Se c'è un router SNATing tra te e l'host di destinazione e un IDS tra quel router e l'host di destinazione, l'indirizzo IP mascherato di quel router potrebbe finire per essere bloccato poiché sarebbe quello che appare come la fonte di quelle scansioni . Ciò potrebbe influire sulla connettività a tutte le reti oltre tale IDS.

Oltre a ciò, nmapping di un singolo host sulla stessa sottorete non genererà molto traffico o causerà interruzioni (tranne che sull'host di invio e ricezione).

Stéphane Chazelas
fonte
1

Sei un amministratore di rete? In caso contrario, penso che il tuo responsabile IT non fosse preoccupato dall'uso eccessivo della larghezza di banda, ma piuttosto dal fatto che 1) stavi armeggiando con la rete e 2) la scansione nmap potrebbe causare l' arresto anomalo delle applicazioni :

Va anche notato che Nmap è noto per il crash di alcune applicazioni scritte male, stack TCP / IP e persino sistemi operativi. Nmap non dovrebbe mai essere eseguito contro sistemi mission-critical a meno che non si sia preparati a subire tempi di inattività. Riconosciamo qui che Nmap potrebbe causare l'arresto anomalo dei sistemi o delle reti e decliniamo ogni responsabilità per eventuali danni o problemi che Nmap potrebbe causare. A causa del leggero rischio di arresti anomali e poiché alcuni cappelli neri amano usare Nmap per la ricognizione prima di attaccare i sistemi, ci sono amministratori che si arrabbiano e possono lamentarsi quando il loro sistema viene scansionato. Pertanto, è spesso consigliabile richiedere l'autorizzazione prima di eseguire anche una scansione leggera di una rete.

Nota che se nmap va in crash un'applicazione, è perché l'applicazione è scritta male, non per colpa di nmap. Nmap è uno strumento ben noto e utile che dovrebbe essere ampiamente utilizzato dagli amministratori di rete nella gestione della propria rete.

DR_
fonte
La domanda afferma chiaramente che sta gestendo i server di destinazione. Supponendo che sia vero, considererei questa giustificazione sufficiente per eseguire nmap sui server. Non è necessario gestire l'intero percorso di rete tra il comando nmap e il server, è sufficiente essere un utente legittimo di quella rete. Lo scopo della rete è trasferire pacchetti tra gli endpoint senza interpretare il contenuto di tali pacchetti. Se un amministratore di rete scegliesse di deviare da questo e nel processo rendesse la loro rete meno stabile, dico di dare la colpa all'amministratore, non agli utenti.
Kasperd,
Sono d'accordo con te, ma capisco anche come reagirebbe un responsabile IT che è una "persona speciale" e probabilmente non molto competente nel suo lavoro.
dr_
Come trattare con un manager che ha opinioni su aree di cui non è a conoscenza non è una domanda unix. Ma potrebbe essere adatto a workplace.stackexchange.com
kasperd,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.