今天,IT 经理很生气,因为我在我管理的 3 台服务器上使用了 nmap 来查看它们打开了哪些端口。我知道我可以在主机外壳内使用 netstat 。
他告诉我“如果网络因为 nmap 而宕机,我会受到惩罚”。我想从技术上知道有多少网络带宽/字节将占用nmap 192.168.1.x哪个输出:
Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
22/tcp open ssh
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
119/tcp open nntp
143/tcp open imap
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open cisco-sccp
6667/tcp open irc
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds
答案1
这很容易测量,至少如果你 nmap 一个你的机器不与之通信的主机。只需使用tcpdump或wireshark来捕获流量,仅限于该IP地址。您还可以使用 iptables 计数器等。
我这样做了(使用wireshark),我测试的机器打开的TCP端口较少(5个),但总数为2009个数据包,118,474字节。这需要 1.4 秒,即 1435 pps 或 677 kbps。两者都不应该破坏配置合理的网络。
如果扫描穿过防火墙,执行其他目标可能会压垮状态防火墙的连接跟踪。当然,运行 nmap 可能会导致任何入侵检测系统发出警报,这可能会浪费某人的调查时间。
最后,nmap(默认情况下)不会检查所有端口,并且基于主机的 IDS 可能会检测并响应扫描,这两者都意味着您不一定会得到准确的答案。
答案2
我见过(损坏的)智能交换机由于 nmap 活动而停机,但那是在 nmap 子网时(因此许多不同端点的 ARP 流量)。这可能就是他正在考虑的问题。
现在,入侵检测系统会尝试检测端口扫描活动,并且可以配置为阻止执行扫描的主机的 IP 地址。
如果您和目标主机之间有一个 SNATing 路由器,并且该路由器和目标主机之间有一个 IDS,那么该路由器的伪装 IP 地址可能最终会被阻止,因为它会成为这些扫描的源地址。这可能会影响该 IDS 之外的所有网络的连接。
除此之外,在同一子网上映射单个主机不会产生大量流量或导致任何中断(发送和接收主机除外)。
答案3
您是网络管理员吗?如果您不这样做,我认为您的 IT 经理并不担心带宽的过度使用,而是担心 1) 您正在修改网络和 2) nmap 扫描可能会导致应用程序崩溃:
还应该指出的是,众所周知,Nmap 会使某些编写不良的应用程序、TCP/IP 堆栈甚至操作系统崩溃。 Nmap 永远不应该在关键任务系统上运行,除非您准备好遭受停机。我们在此承认 Nmap 可能会使您的系统或网络崩溃,并且我们对 Nmap 可能造成的任何损害或问题不承担任何责任。由于崩溃的风险很小,而且一些黑帽子喜欢在攻击系统之前使用 Nmap 进行侦察,因此有些管理员在系统被扫描时会感到不安并可能会抱怨。因此,通常建议在对网络进行轻微扫描之前请求许可。
请注意,如果 nmap 使应用程序崩溃,那是因为应用程序编写得不好,而不是 nmap 的错。 Nmap 是一个公认且有用的工具,网络管理员在管理自己的网络时应该广泛使用它。