到主机的简单 nmap 占用多少字节?

到主机的简单 nmap 占用多少字节?

今天,IT 经理很生气,因为我在我管理的 3 台服务器上使用了 nmap 来查看它们打开了哪些端口。我知道我可以在主机外壳内使用 netstat 。

他告诉我“如果网络因为 nmap 而宕机,我会受到惩罚”。我想从技术上知道有多少网络带宽/字节将占用nmap 192.168.1.x哪个输出:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds

答案1

这很容易测量,至少如果你 nmap 一个你的机器不与之通信的主机。只需使用tcpdump或wireshark来捕获流量,仅限于该IP地址。您还可以使用 iptables 计数器等。

我这样做了(使用wireshark),我测试的机器打开的TCP端口较少(5个),但总数为2009个数据包,118,474字节。这需要 1.4 秒,即 1435 pps 或 677 kbps。两者都不应该破坏配置合理的网络。

如果扫描穿过防火墙,执行其他目标可能会压垮状态防火墙的连接跟踪。当然,运行 nmap 可能会导致任何入侵检测系统发出警报,这可能会浪费某人的调查时间。

最后,nmap(默认情况下)不会检查所有端口,并且基于主机的 IDS 可能会检测并响应扫描,这两者都意味着您不一定会得到准确的答案。

答案2

我见过(损坏的)智能交换机由于 nmap 活动而停机,但那是在 nmap 子网时(因此许多不同端点的 ARP 流量)。这可能就是他正在考虑的问题。

现在,入侵检测系统会尝试检测端口扫描活动,并且可以配置为阻止执行扫描的主机的 IP 地址。

如果您和目标主机之间有一个 SNATing 路由器,并且该路由器和目标主机之间有一个 IDS,那么该路由器的伪装 IP 地址可能最终会被阻止,因为它会成为这些扫描的源地址。这可能会影响该 IDS 之外的所有网络的连接。

除此之外,在同一子网上映射单个主机不会产生大量流量或导致任何中断(发送和接收主机除外)。

答案3

您是网络管理员吗?如果您不这样做,我认为您的 IT 经理并不担心带宽的过度使用,而是担心 1) 您正在修改网络和 2) nmap 扫描可能会导致应用程序崩溃:

还应该指出的是,众所周知,Nmap 会使某些编写不良的应用程序、TCP/IP 堆栈甚至操作系统崩溃。 Nmap 永远不应该在关键任务系统上运行,除非您准备好遭受停机。我们在此承认 Nmap 可能会使您的系统或网络崩溃,并且我们对 Nmap 可能造成的任何损害或问题不承担任何责任。由于崩溃的风险很小,而且一些黑帽子喜欢在攻击系统之前使用 Nmap 进行侦察,因此有些管理员在系统被扫描时会感到不安并可能会抱怨。因此,通常建议在对网络进行轻微扫描之前请求许可。

请注意,如果 nmap 使应用程序崩溃,那是因为应用程序编写得不好,而不是 nmap 的错。 Nmap 是一个公认且有用的工具,网络管理员在管理自己的网络时应该广泛使用它。

相关内容