Có bao nhiêu byte chiếm một nmap đơn giản cho một máy chủ?

Hôm nay, người quản lý CNTT đã nổi giận vì tôi đã sử dụng nmap trên 3 máy chủ mà tôi quản lý để xem họ đã mở cổng nào. Tôi biết tôi có thể đã sử dụng netstat bên trong vỏ của máy chủ.

Anh ấy nói với tôi rằng "Nếu mạng bị sập vì nmap tôi sẽ bị trừng phạt". Tôi muốn biết về mặt kỹ thuật có bao nhiêu băng thông mạng / byte sẽ mất nmap 192.168.1.xkết quả đầu ra:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds

networking nmap

— JorgeeFG
nguồn

Câu trả lời:

Điều này đủ dễ để đo lường, ít nhất là nếu bạn lập sơ đồ máy chủ thì máy của bạn không liên lạc với nhau. Chỉ cần sử dụng tcpdump hoặc wireshark để nắm bắt lưu lượng, giới hạn trong địa chỉ IP đó. Bạn cũng có thể sử dụng quầy iptables, v.v.

Tôi đã làm như vậy (sử dụng wireshark), máy tôi đã thử nghiệm có ít cổng TCP mở hơn (5), nhưng tổng số là các gói 2009, 118.474 byte. Điều đó mất 1,4 giây, vì vậy 1435 pps hoặc 677 kbps. Không nên gỡ xuống một mạng được cấu hình hợp lý.

Thực hiện các mục tiêu bổ sung có thể có khả năng áp đảo theo dõi kết nối của tường lửa trạng thái, nếu quá trình quét đi qua tường lửa. Và tất nhiên, việc chạy nmap có khả năng khiến bất kỳ hệ thống phát hiện xâm nhập nào báo động với khả năng lãng phí thời gian điều tra của ai đó.

Cuối cùng, nmap (theo mặc định) không kiểm tra tất cả các cổng và IDS dựa trên máy chủ có thể phát hiện và trả lời quét Quét cả hai nghĩa là bạn không nhất thiết phải có câu trả lời chính xác.

— derobert
nguồn

Vì vậy, sẽ mất ít băng thông mạng hơn là đính kèm ảnh trong thư. Cảm ơn

— JorgeeFG 11/05/2015

@Jorge, việc sử dụng băng thông không cao khiến mạng bị hỏng. Việc truyền một byte peta qua một kết nối TCP chẳng hạn sẽ không làm giảm mạng. Một số loại lưu lượng truy cập cụ thể có thể có một số hậu quả xấu.

— Stéphane Chazelas

@ StéphaneChazelas Tôi đã đọc câu trả lời của bạn và đó là một điểm rất tốt và tôi sẽ đưa nó vào tài khoản. Cảm ơn! +1

— JorgeeFG

@Jorge Số Nó sẽ là 118474 1,4 ÷ 1024≈83 KiB / s hoặc 118474 1,4 ÷ 1000≈85 kB / s (1024- so với 1000- định nghĩa của kilobyte). Nhưng băng thông thường được đo bằng bit trên giây và với 1000 bit trên mỗi kilobit, vì vậy so677 kbps. (Tất cả các số đó đã được làm tròn, đó là lý do tại sao 677 8 ≠ 85.)

— derobert

Bản thân Nmap có thể cho bạn biết nó gửi bao nhiêu byte cho một số loại quét, khi bạn sử dụng -vcờ:Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)

— bonsaiviking

Tôi đã thấy (hỏng) các công tắc thông minh bị hỏng do hoạt động nmap, nhưng đó là khi lập sơ đồ mạng con (vì vậy lưu lượng ARP cho rất nhiều điểm cuối khác nhau). Đó có thể là loại vấn đề anh ấy nghĩ đến.

Bây giờ Hệ thống phát hiện xâm nhập thực hiện thử và phát hiện hoạt động quét cổng và có thể được định cấu hình để chặn địa chỉ IP của máy chủ thực hiện quét.

Nếu có bộ định tuyến SNATing ở giữa bạn và máy chủ đích và IDS giữa bộ định tuyến đó và máy chủ đích, thì địa chỉ IP giả mạo của bộ định tuyến đó có thể sẽ bị chặn vì nó sẽ xuất hiện dưới dạng nguồn của các lần quét đó . Điều đó có thể ảnh hưởng đến khả năng kết nối với tất cả các mạng ngoài IDS đó.

Ngoài ra, việc lập sơ đồ một máy chủ trên cùng một mạng con sẽ không tạo ra nhiều lưu lượng truy cập hoặc gây ra bất kỳ sự gián đoạn nào (ngoài máy chủ gửi và nhận).

— Stéphane Chazelas
nguồn

Bạn có phải là quản trị viên mạng không? Nếu bạn không, tôi nghĩ rằng người quản lý CNTT của bạn không quan tâm đến việc sử dụng quá nhiều băng thông mà thực tế là 1) bạn đã mày mò mạng và 2) quét nmap có thể làm sập các ứng dụng :

Cũng cần lưu ý rằng Nmap đã được biết là đã đánh sập một số ứng dụng được viết kém, ngăn xếp TCP / IP và thậm chí cả hệ điều hành. Nmap không bao giờ được chạy chống lại các hệ thống quan trọng trừ khi bạn chuẩn bị chịu thời gian chết. Chúng tôi thừa nhận ở đây rằng Nmap có thể làm sập hệ thống hoặc mạng của bạn và chúng tôi từ chối mọi trách nhiệm đối với mọi thiệt hại hoặc sự cố mà Nmap có thể gây ra. Do nguy cơ gặp sự cố nhỏ và vì một vài chiếc mũ đen muốn sử dụng Nmap để trinh sát trước các hệ thống tấn công, có những quản trị viên trở nên buồn bã và có thể phàn nàn khi hệ thống của họ được quét. Vì vậy, thường nên yêu cầu sự cho phép trước khi thực hiện quét mạng.

Lưu ý rằng nmap nên sập một ứng dụng, vì ứng dụng đó được viết kém, không phải lỗi của nmap. Nmap là một công cụ hữu ích và được công nhận, nên được sử dụng rộng rãi bởi các quản trị viên mạng khi quản lý mạng riêng của họ.

— dr_
nguồn

Câu hỏi nêu rõ rằng anh ta đang quản lý các máy chủ mục tiêu. Giả sử điều đó là đúng, thì tôi sẽ xem xét sự biện minh đầy đủ đó để chạy nmap trên các máy chủ. Bạn không cần phải quản lý toàn bộ đường dẫn mạng giữa lệnh nmap và máy chủ, bạn chỉ cần là người dùng hợp pháp của mạng đó. Mục đích của mạng là chuyển các gói giữa các điểm cuối mà không diễn giải nội dung của các gói đó. Nếu một quản trị viên mạng chọn cách đi chệch khỏi điều này và trong quá trình làm cho mạng của họ kém ổn định hơn, tôi nói đổ lỗi cho quản trị viên chứ không phải người dùng.

— kasperd

Tôi đồng ý với bạn, nhưng tôi cũng hiểu người quản lý CNTT là "người đặc biệt" và có lẽ không có năng lực trong công việc của anh ta sẽ phản ứng như thế nào.

— dr_

Làm thế nào để đối phó với một người quản lý có ý kiến về các lĩnh vực mà anh ta không có kiến thức về nó không phải là một câu hỏi unix. Nhưng nó có thể phù hợp với nơi làm

— việc.stackexchange.com