ホストへの単純なnmapを何バイト使用しますか?

9

今日、管理している3台のサーバーでnmapを使用して、開いているポートを確認したため、ITマネージャーは怒りました。ホストのシェル内でnetstatを使用できたはずです。

「nmapのためにネットワークがダウンした場合、罰せられるだろう」と彼は私に言った。私は技術的にどれだけのネットワーク帯域幅/バイトがnmap 192.168.1.xどの出力を取得するかを知りたいです:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds
networking  nmap 
JorgeeFG
ソース

回答:

12

これは、少なくともマシンが他の方法で通信していないホストをnmapする場合、測定するのに十分簡単です。tcpdumpまたはWiresharkを使用して、そのIPアドレスに限定されたトラフィックをキャプチャするだけです。iptablesカウンターなどを使用することもできます。

私は(wiresharkを使用して)そのようにしました。テストしたマシンでは開いているTCPポート(5)が少なくなっていますが、合計は2009パケット、118,474バイトでした。これには1.4秒かかったので、1435 ppsまたは677 kbpsでした。どちらも、適切に構成されたネットワークを停止するべきではありません。

追加のターゲットを実行すると、スキャンがファイアウォールを通過した場合に、ステートフルファイアウォールの接続追跡を圧倒する可能性があります。そしてもちろん、nmapを実行すると、侵入検知システムが警告を発する可能性が高く、潜在的に誰かの調査時間を浪費する可能性があります。

最後に、nmap(デフォルト)はすべてのポートをチェックせず、ホストベースのIDSがスキャンを検出して応答する可能性があります。つまり、必ずしも正確な答えが得られるわけではありません。

デロベルト
ソース
1
したがって、メールに写真を添付するよりもネットワーク帯域幅が少なくて済みます。ありがとう
JorgeeFG 2015年
4
@Jorge、ネットワークのダウンを引き起こすのは高帯域幅の使用ではありません。たとえば、1つのTCP接続で1ペタバイトを転送しても、ネットワークがダウンすることはありません。特定のタイプのトラフィックは、いくつかの悪い結果をもたらす可能性があります。
ステファンChazelas
@StéphaneChazelasIveがあなたの回答を読み、それが非常に良い点であり、それを考慮に入れます。ありがとう!+1
JorgeeFG 2015年
1
@ジョージ番号118118÷1.4÷1024≈83KiB / sまたは118474÷1.4÷1000≈85kB / s(1024対1000-キロバイトの定義)。ただし、帯域幅は伝統的に1秒あたりのビット数で測定され、キロビットあたり1000ビットなので、≈677kbpsです。(これらの数値はすべて四捨五入されているため、677÷8≠85です。)
derobert
1
あなたが使用している場合、それは、いくつかのスキャンタイプのために送信しますどのように多くのバイトを伝えることができます自分自身をNMAP -v:フラグRaw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)
bonsaiviking
8

nmapアクティビティが原因で(壊れた)スマートスイッチがダウンするのを見ましたが、それはサブネットをnmmapするときでした(したがって、多くの異なるエンドポイントのARPトラフィック)。それは彼が考えている種類の問題かもしれません。

現在、侵入検知システムはポートスキャンアクティビティを試行して検出し、スキャンを実行しているホストのIPアドレスをブロックするように構成されている場合があります。

あなたとターゲットホストの間にSNATルーターがあり、そのルーターとターゲットホストの間にIDSがある場合、そのルーターのマスカレードIPアドレスは、スキャンのソースとして表示されるため、ブロックされる可能性があります。 。これは、そのIDSを超えるすべてのネットワークへの接続に影響を与える可能性があります。

それ以外は、同じサブネット上で単一のホストをnmmapしても、大量のトラフィックを生成したり、混乱を引き起こしたりすることはありません(送信ホストと受信ホスト以外)。

ステファンシャゼラス
ソース
1

あなたはネットワーク管理者ですか?そうでない場合、ITマネージャーは帯域幅の過剰使用ではなく、1)ネットワークをいじくり回しており、2)nmapスキャンがアプリケーションをクラッシュさせる可能性があることを懸念していたと思います

また、Nmapは、適切に作成されていない特定のアプリケーション、TCP / IPスタック、さらにはオペレーティングシステムをクラッシュさせることが知られていることにも注意してください。ダウンタイムに苦しむ準備ができていない限り、Nmapをミッションクリティカルなシステムに対して実行しないでください。ここでは、Nmapがシステムまたはネットワークをクラッシュさせる可能性があることを認め、Nmapが引き起こす可能性のある損傷または問題に対するすべての責任を負いません。クラッシュのわずかなリスクと、システムを攻撃する前に偵察のためにNmapを使用することを好む少数のブラックハットのため、システムがスキャンされると混乱し、不平を言う管理者がいます。したがって、ネットワークの簡単なスキャンを行う前に、許可を要求することをお勧めします。

nmapがアプリケーションをクラッシュさせるのは、nmapの障害ではなく、アプリケーションの記述が不十分なためです。Nmapは広く認知された便利なツールであり、ネットワーク管理者が自分のネットワークを管理するときに広く使用する必要があります。

dr_
ソース
質問は明らかに彼がターゲットサーバーを管理していることを述べています。それが真実であると仮定すると、サーバーでnmapを実行するのに十分な理由があると私は考えます。nmapコマンドとサーバー間のネットワークパス全体を管理する必要はありません。そのネットワークの正当なユーザーである必要があります。ネットワークの目的は、パケットの内容を解釈せずにエンドポイント間でパケットを転送することです。ネットワーク管理者がこれから逸脱し、その過程でネットワークの安定性を低下させることを選択した場合、ユーザーではなく管理者を責めます。
kasperd
私はあなたにも同意しますが、「特別な人」であり、おそらく彼の仕事ではあまり能力がないITマネージャーがどのように反応するかも理解しています。
dr_
しかし、彼が知らない領域について意見を持っているマネージャーに対処する方法は、UNIXの質問ではありません。しかし、workplace.stackexchange.com
kasperd
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.