一个主机的简单nmap占用多少字节？

今天，IT经理很生气，因为我在3台服务器上使用了nmap，设法查看它们打开了哪些端口。我知道我可以在主机外壳中使用netstat。

他告诉我，“如果网络由于nmap中断，我将受到惩罚”。我想从技术上知道需要多少网络带宽/字节才能nmap 192.168.1.x输出：

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds

这很容易测量，至少在您不映射主机而不与之通信的情况下。只需使用tcpdump或wirehark捕获流量（仅限于该IP地址）即可。您还可以使用iptables计数器等。

我这样做（使用wireshark），在我测试过的机器上有较少的开放TCP端口（5个），但总数为2009个数据包，为118,474字节。耗时1.4秒，因此1435 pps或677 kbps。两者都不应该关闭合理配置的网络。

如果扫描通过防火墙，那么执行其他目标可能会淹没状态防火墙的连接跟踪。当然运行nmap可能会导致任何入侵检测系统发出警报-可能会浪费某人的调查时间。

最后，nmap（默认情况下）不会检查所有端口，基于主机的IDS可能会检测到并响应扫描，这都意味着您不一定可以获得准确的答案。

我已经看到（断开）智能交换机由于nmap活动而关闭，但是那是在映射子网时（因此，许多不同端点的ARP流量）。那可能是他在想的那种问题。

现在，入侵检测系统确实尝试检测端口扫描活动，并且可以配置为阻止进行扫描的主机的IP地址。

如果您和目标主机之间有一个SNATing路由器，并且在该路由器和目标主机之间有一个IDS，则该路由器的伪装IP地址可能最终被阻止，因为它将作为那些扫描源出现。这可能会影响到该IDS以外的所有网络的连接。

除此之外，在同一子网上映射单个主机不会产生大量流量或引起任何中断（发送和接收主机除外）。

您是网络管理员吗？如果不是这样，我认为您的IT经理并不担心带宽的过度使用，而是考虑到以下事实：1）您正在修改网络，2）nmap扫描可能会使应用程序崩溃：

还应该注意，已知Nmap会使某些编写不当的应用程序，TCP / IP堆栈甚至操作系统崩溃。除非您准备遭受停机，否则Nmap绝对不能在关键任务系统上运行。我们在此承认Nmap可能会使您的系统或网络崩溃，并且我们对Nmap可能引起的任何损坏或问题不承担任何责任。由于崩溃的风险很小，并且由于一些黑帽子喜欢在攻击系统之前使用Nmap进行侦察，因此有些管理员会感到不安，并在扫描系统时可能会抱怨。因此，通常建议在进行网络的轻微扫描之前就请求许可。

请注意，nmap应该会使应用程序崩溃，这是因为该应用程序编写不正确，而不是nmap的错误。Nmap是一种公认​​的有用工具，网络管理员在管理自己的网络时应广泛使用。