¿Cuántos bytes ocupan un nmap simple para un host?

9

Hoy el gerente de TI se enojó porque usé nmap en los 3 servidores que administro para ver qué puertos tenían abiertos. Sé que podría haber usado netstat dentro del shell del host.

Me dijo que "si la red deja de funcionar debido a nmap, sería castigado". Me gustaría saber técnicamente cuántos ancho de banda / bytes de red tomarían una nmap 192.168.1.xsalida:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds
networking nmap JorgeeFG
fuente

Respuestas:

12

Esto es bastante fácil de medir, al menos si mapea un host con el que su máquina no se está comunicando. Simplemente use tcpdump o wireshark para capturar el tráfico, limitado a esa dirección IP. También puede usar contadores de iptables, etc.

Lo hice (usando wireshark), la máquina que probé tiene menos puertos TCP abiertos (5), pero los totales fueron paquetes de 2009, 118,474 bytes. Eso tomó 1.4 segundos, entonces 1435 pps o 677 kbps. Ninguno de los dos debería eliminar una red razonablemente configurada.

Hacer objetivos adicionales podría potencialmente abrumar el seguimiento de conexión de un firewall con estado, si el escaneo se realiza a través de un firewall. Y, por supuesto, es probable que ejecutar nmap provoque la alarma de cualquier sistema de detección de intrusiones, lo que podría hacer que alguien pierda el tiempo investigando.

Finalmente, nmap (por defecto) no verifica todos los puertos y los IDS basados ​​en host pueden detectar y responder al escaneo, ambos significan que no necesariamente obtiene respuestas precisas.

derobert
fuente
1
Por lo tanto, se necesita menos ancho de banda de red que adjuntar una foto en un correo. Gracias
JorgeeFG
44
@Jorge, no es el uso de gran ancho de banda lo que hace que las redes caigan . Transferir un peta-byte a través de una conexión TCP, por ejemplo, no va a derribar una red. Algunos tipos específicos de tráfico pueden tener algunas malas consecuencias.
Stéphane Chazelas
@ StéphaneChazelas He leído su respuesta y es un muy buen punto y lo tendré en cuenta. ¡Gracias! +1
JorgeeFG
1
@Jorge No. Sería 118474 ÷ 1.4 ÷ 1024≈83 KiB / so 118474 ÷ 1.4 ÷ 1000≈85 kB / s (definición 1024- vs. 1000- de kilobyte). Pero el ancho de banda se mide tradicionalmente en bits por segundo, y con 1000 bits por kilobit, entonces ≈677 kbps. (Todos esos números se han redondeado, por eso 677 ÷ 8 ≠ 85.)
derobert
1
Nmap mismo puede decirle cuántos bytes envía para algunos tipos de escaneo, cuando usa la -vbandera:Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)
bonsaiviking
8

He visto interruptores inteligentes (rotos) cayendo debido a la actividad de nmap, pero eso fue cuando nmapping una subred (por lo que el tráfico ARP para muchos puntos finales diferentes). Ese puede ser el tipo de problema en el que está pensando.

Ahora, los sistemas de detección de intrusos intentan detectar la actividad de escaneo de puertos y pueden configurarse para bloquear la dirección IP del host que realiza el escaneo.

Si hay un enrutador SNATing entre usted y el host de destino, y un IDS entre ese enrutador y el host de destino, entonces la dirección IP enmascarada de ese enrutador puede terminar bloqueada, ya que sería la que aparece como la fuente de esos escaneos . Eso podría afectar la conectividad a todas las redes más allá de ese IDS.

Aparte de eso, nmapping un solo host en la misma subred no va a generar mucho tráfico o causar ninguna interrupción (que no sea en el host de envío y recepción).

Stéphane Chazelas
fuente
1

¿Eres administrador de red? Si no lo está, creo que su administrador de TI no estaba preocupado por el uso excesivo del ancho de banda, sino por el hecho de que 1) estaba jugando con la red y 2) el escaneo de nmap podría bloquear las aplicaciones :

También se debe tener en cuenta que se sabe que Nmap bloquea ciertas aplicaciones mal escritas, pilas TCP / IP e incluso sistemas operativos. Nmap nunca debe ejecutarse contra sistemas de misión crítica a menos que esté preparado para sufrir tiempos de inactividad. Reconocemos aquí que Nmap puede bloquear sus sistemas o redes y renunciamos a toda responsabilidad por cualquier daño o problema que pueda causar Nmap. Debido al ligero riesgo de fallas y a algunos sombreros negros les gusta usar Nmap para el reconocimiento antes de atacar los sistemas, hay administradores que se molestan y pueden quejarse cuando se escanea su sistema. Por lo tanto, a menudo es aconsejable solicitar permiso antes de hacer incluso un escaneo ligero de una red.

Tenga en cuenta que si nmap bloquea una aplicación, es porque la aplicación está mal escrita, no es culpa de nmap. Nmap es una herramienta reconocida y útil que los administradores de red deberían utilizar ampliamente al administrar su propia red.

Dr_
fuente
La pregunta establece claramente que está administrando los servidores de destino. Suponiendo que eso sea cierto, consideraría esa justificación suficiente para ejecutar nmap en los servidores. No necesita administrar toda la ruta de red entre el comando nmap y el servidor, solo necesita ser un usuario legítimo de esa red. El propósito de la red es transferir paquetes entre los puntos finales sin interpretar el contenido de esos paquetes. Si un administrador de red elige desviarse de esto y en el proceso hace que su red sea menos estable, digo culpar al administrador, no a los usuarios.
kasperd
Estoy de acuerdo con usted, pero también entiendo cómo reaccionaría un gerente de TI que es una "persona especial" y probablemente no muy competente en su trabajo.
dr_
Sin embargo, cómo tratar con un gerente que tiene opiniones sobre áreas sobre las que no tiene conocimiento no es una pregunta unix. Pero puede ser adecuado para el lugar de
trabajo.stackexchange.com