Comando ou utilitário para medir a quantidade de tráfego gerada por uma varredura nmap

Navegue suas respostas
1

Primeiro, apenas um pouco de fundo:

Meu ISP decidiu bloquear todas as conexões de entrada (da perspectiva de seus clientes), o que efetivamente significa que não posso mais hospedar nada em minha conexão (FTP, HTTP, etc.) ou usar qualquer um dos vários programas que exigem um ou mais portas de escuta a serem especificadas para uso por conexões de entrada (SSH, RDP, uTorrent, etc. etc.)

Aparentemente, eles recentemente "sofreram" um ataque de varredura de porta em um intervalo IP inteiro que foi alocado para uso por seus assinantes e seu raciocínio agora (como um ISP de largura de banda medida) é que permitir conexões de entrada gerará muito mais , tráfego não solicitado que a maioria de seus assinantes não estará disposto a pagar (ou até mesmo entender de onde ele vem).

Eu discordo em que, no grande esquema das coisas, eu não acho que um monte de pacotes SYN e os pacotes NACK (?) resultantes, como enviados de volta de um firewall baseado em host (por exemplo), acabem causando Muito tráfego adicional.

Minha pergunta é se existe alguma maneira de medir a quantidade de largura de banda que essa varredura de porta normalmente geraria se eu examinasse todas as portas da minha própria máquina? O nmap é ideal para isso, mas não tenho certeza de como medir a largura de banda total (incluindo os pacotes 'rejeitar' enviados de volta da máquina de destino, se houver).

Eu sou bastante proficiente com o bash shell e conheço meu caminho pelo Linux. Qualquer ajuda seria muito apreciada!

    
por Xhantar 22.02.2011 / 13:51

2 respostas

3

Você pode usar o iptables (adicionar regras de permissão)

Varredura do host 8.8.8.8: 

# iptables -I INPUT 1 -s 8.8.8.8 -j ACCEPT
# iptables -I OUTPUT 1 -d 8.8.8.8 -j ACCEPT
# iptables -Z && nmap -O 8.8.8.8
# iptables -vn -L
Chain INPUT (policy ACCEPT 273 packets, 17374 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    8   320 ACCEPT     all  --  *      *       8.8.8.8              0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 140 packets, 13386 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2043 94224 ACCEPT     all  --  *      *       0.0.0.0/0            8.8.8.8
    
por 22.02.2011 / 14:32
1

Você provavelmente poderia usar o tcpdump ou wireshark para medir o tráfego. Mas não se esqueça de desativar todos os outros tráfegos, navegadores da web, clientes de e-mail, atualizações do ntp, skype ou qualquer outro software de bate-papo, etc. Ou apenas desconecte todos os clientes.

Ou apenas filtre o tráfego certo com o tcpdump ou wireshark.

    
por 22.02.2011 / 13:59

Tags

Apache travando em intervalos aleatórios. Não é possível encontrar um motivo nos arquivos de log se fizer o downgrade do padrão sharepoint 2010 para a base, perderíamos conteúdo?