一个主机的简单nmap占用多少字节?


9

今天,IT经理很生气,因为我在3台服务器上使用了nmap,设法查看它们打开了哪些端口。我知道我可以在主机外壳中使用netstat。

他告诉我,“如果网络由于nmap中断,我将受到惩罚”。我想从技术上知道需要多少网络带宽/字节才能nmap 192.168.1.x输出:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds

Answers:


12

这很容易测量,至少在您不映射主机而不与之通信的情况下。只需使用tcpdump或wirehark捕获流量(仅限于该IP地址)即可。您还可以使用iptables计数器等。

我这样做(使用wireshark),在我测试过的机器上有较少的开放TCP端口(5个),但总数为2009个数据包,为118,474字节。耗时1.4秒,因此1435 pps或677 kbps。两者都不应该关闭合理配置的网络。

如果扫描通过防火墙,那么执行其他目标可能会淹没状态防火墙的连接跟踪。当然运行nmap可能会导致任何入侵检测系统发出警报-可能会浪费某人的调查时间。

最后,nmap(默认情况下)不会检查所有端口,基于主机的IDS可能会检测到并响应扫描,这都意味着您不一定可以获得准确的答案。


1
因此,与在邮件中附加照片相比,它需要更少的网络带宽。谢谢
JorgeeFG

4
@Jorge,不是高带宽使用率导致网络瘫痪。例如,通过一个TCP连接传输1 PB字节不会导致网络瘫痪。某些特定类型的流量可能会带来一些不良后果。
斯特凡Chazelas

@StéphaneChazelasIve阅读了您的答案,这是一个很好的观点,我会考虑在内。谢谢!+1
JorgeeFG

1
@Jorge号。它将是118474÷1.4÷1024≈83KiB / s或118474÷1.4÷1000≈85kB / s(1024-vs。1000-千字节的定义)。但是传统上带宽是用每秒比特数来衡量的,每千比特以1000位为单位,因此≈677kbps。(所有这些数字均已四舍五入,这就是为什么677÷8≠85。)
derobert 2015年

1
使用该-v标志时,Nmap本身可以告诉您某些扫描类型发送了多少字节:Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)
bonsaiviking 2015年

8

我已经看到(断开)智能交换机由于nmap活动而关闭,但是那是在映射子网时(因此,许多不同端点的ARP流量)。那可能是他在想的那种问题。

现在,入侵检测系统确实尝试检测端口扫描活动,并且可以配置为阻止进行扫描的主机的IP地址。

如果您和目标主机之间有一个SNATing路由器,并且在该路由器和目标主机之间有一个IDS,则该路由器的伪装IP地址可能最终被阻止,因为它将作为那些扫描源出现。这可能会影响到该IDS以外的所有网络的连接。

除此之外,在同一子网上映射单个主机不会产生大量流量或引起任何中断(发送和接收主机除外)。


1

您是网络管理员吗?如果不是这样,我认为您的IT经理并不担心带宽的过度使用,而是考虑到以下事实:1)您正在修改网络,2)nmap扫描可能会使应用程序崩溃

还应该注意,已知Nmap会使某些编写不当的应用程序,TCP / IP堆栈甚至操作系统崩溃。除非您准备遭受停机,否则Nmap绝对不能在关键任务系统上运行。我们在此承认Nmap可能会使您的系统或网络崩溃,并且我们对Nmap可能引起的任何损坏或问题不承担任何责任。由于崩溃的风险很小,并且由于一些黑帽子喜欢在攻击系统之前使用Nmap进行侦察,因此有些管理员会感到不安,并在扫描系统时可能会抱怨。因此,通常建议在进行网络的轻微扫描之前就请求许可。

请注意,nmap应该会使应用程序崩溃,这是因为该应用程序编写不正确,而不是nmap的错误。Nmap是一种公认​​的有用工具,网络管理员在管理自己的网络时应广泛使用。


问题清楚地表明,他正在管理目标服务器。假设这是真的,那么我认为有足够的理由在服务器上运行nmap。您无需管理nmap命令与服务器之间的整个网络路径,只需成为该网络的合法用户即可。网络的目的是在端点之间传输数据包而不解释这些数据包的内容。如果网络管理员选择偏离这一点,并在此过程中降低其网络的稳定性,我要怪罪管理员,而不是用户。
卡巴斯德(Kasperd),2015年

我同意您的看法,但我也理解作为“特殊人员”并且可能工作能力不强的IT经理会如何反应。
dr_

但是,如何与一个对自己不了解的领域有意见的经理打交道,这并不是一个统一的问题。但它可能适合workplace.stackexchange.com
kasperd
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.