Quantos bytes ocupam um nmap simples para um host?

9

Hoje, o gerente de TI ficou zangado porque usei o nmap nos 3 servidores que consigo ver quais portas eles abriram. Eu sei que poderia ter usado o netstat dentro do shell do host.

Ele me disse que "se a rede cair por causa do nmap, eu seria punido". Gostaria de saber tecnicamente quantas larguras de banda / bytes de rede seriam necessárias para nmap 192.168.1.xquais saídas:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds
JorgeeFG
fonte

Respostas:

12

Isso é fácil de medir, pelo menos se você mapear um host com o qual sua máquina não está se comunicando. Basta usar tcpdump ou wireshark para capturar o tráfego, limitado a esse endereço IP. Você também pode usar contadores de iptables, etc.

Eu fiz isso (usando o wireshark), a máquina em que testei tem menos portas TCP abertas (5), mas o total era de pacotes de 2009, 118.474 bytes. Isso levou 1,4 segundos, então 1435 pps ou 677 kbps. Nem deve derrubar uma rede razoavelmente configurada.

A realização de destinos adicionais poderia potencialmente sobrecarregar o rastreamento de conexão de um firewall com estado, se a verificação passasse por um firewall. E é claro que a execução do nmap provavelmente causará alarme em qualquer sistema de detecção de intrusões - potencialmente desperdiçando o tempo de alguém investigando.

Finalmente, o nmap (por padrão) não verifica todas as portas e os IDSs baseados em host podem detectar e responder à verificação - ambos significam que você não necessariamente obtém respostas precisas.

derobert
fonte
1
Portanto, é preciso menos largura de banda da rede do que anexar uma foto a um email. Obrigado
JorgeeFG
4
@Jorge, não é o alto uso da largura de banda que causa a queda das redes. Transferir um peta-byte por uma conexão TCP, por exemplo, não derrubará a rede. Alguns tipos específicos de tráfego podem ter algumas consequências ruins.
Stéphane Chazelas
@ StéphaneChazelas Eu li a sua resposta e é um ponto muito bom e vou levar em consideração. Obrigado! +1
JorgeeFG
1
@Jorge No. Seriam 118474 ± ​​1,4 × 1024 × 83 KiB / s ou 118474 × 1,4 × 1000–85 kB / s (definição de kilobyte de 1024 - vs. 1000 -). Mas a largura de banda é tradicionalmente medida em bits por segundo e com 1000 bits por kilobit, ou seja, ~ 677 kbps. (Todos esses números foram arredondados, e é por isso que 677 ÷ 8 ≠ 85.)
derobert
1
Nmap em si pode dizer quantos bytes ele envia para alguns tipos de digitalização, quando você usa a -vbandeira:Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)
bonsaiviking
8

Eu vi interruptores inteligentes (quebrados) caindo devido à atividade do nmap, mas foi quando o nmapping de uma sub-rede (portanto, o tráfego ARP para muitos pontos de extremidade diferentes). Esse pode ser o tipo de problema que ele está pensando.

Agora, os Sistemas de detecção de intrusões tentam detectar a atividade de verificação de porta e podem ser configurados para bloquear o endereço IP do host que está fazendo a verificação.

Se houver um roteador SNATing entre você e o host de destino, e um IDS entre esse roteador e o host de destino, o endereço IP mascarado desse roteador poderá acabar sendo bloqueado, pois ele aparecerá como a origem dessas verificações. . Isso pode afetar a conectividade com todas as redes além desse IDS.

Fora isso, o mapeamento de um único host na mesma sub-rede não irá gerar muito tráfego ou causar qualquer interrupção (exceto no host de envio e recebimento).

Stéphane Chazelas
fonte
1

Você é um administrador de rede? Caso contrário, acho que seu gerente de TI não estava preocupado com o uso excessivo de largura de banda, mas com o fato de que 1) você estava mexendo na rede e 2) a verificação do nmap poderia travar os aplicativos :

Também deve ser observado que o Nmap travou certos aplicativos mal escritos, pilhas TCP / IP e até sistemas operacionais. O Nmap nunca deve ser executado em sistemas de missão crítica, a menos que você esteja preparado para sofrer períodos de inatividade. Reconhecemos aqui que o Nmap pode travar seus sistemas ou redes e nos isentamos de qualquer responsabilidade por qualquer dano ou problema que o Nmap possa causar. Devido ao pequeno risco de falhas e ao fato de alguns chapéus pretos gostarem de usar o Nmap para reconhecimento antes de atacar sistemas, existem administradores que ficam chateados e podem reclamar quando o sistema é verificado. Assim, muitas vezes é aconselhável solicitar permissão antes de fazer uma varredura leve de uma rede.

Observe que o nmap deve travar um aplicativo, é porque o aplicativo está mal escrito, não é culpa do nmap. O Nmap é uma ferramenta bem reconhecida e útil que deve ser amplamente utilizada pelos administradores de rede ao gerenciar sua própria rede.

dr_
fonte
A pergunta afirma claramente que ele está gerenciando os servidores de destino. Supondo que isso seja verdade, consideraria justificativa suficiente para executar o nmap nos servidores. Você não precisa gerenciar todo o caminho da rede entre o comando nmap e o servidor, apenas precisa ser um usuário legítimo dessa rede. O objetivo da rede é transferir pacotes entre os pontos de extremidade sem interpretar o conteúdo desses pacotes. Se um administrador de rede optar por se desviar disso e, no processo, tornar sua rede menos estável, eu culpo o administrador, não os usuários.
kasperd
Eu concordo com você, mas também entendo como um gerente de TI que é uma "pessoa especial" e provavelmente não muito competente em seu trabalho reagiria.
Dr_
Como lidar com um gerente que tem opiniões sobre áreas sobre as quais ele não tem conhecimento não é uma questão unix. Mas pode ser adequado para workplace.stackexchange.com
kasperd