Quantos bytes ocupam um simples nmap para um host?

9

Hoje o gerente de TI ficou irritado porque usei o nmap nos três servidores que gerencie para ver quais portas eles tinham aberto. Eu sei que poderia ter usado o netstat dentro do shell do host.

Ele me disse que "Se a rede cair por causa do nmap eu seria punido". Gostaria de saber tecnicamente quantas bandwidth / bytes de rede levariam um nmap 192.168.1.x que gera:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds
    
por JorgeeFG 11.05.2015 / 22:23

3 respostas

12

Isso é fácil de medir, pelo menos se você não mapear um host com o qual sua máquina não está se comunicando. Basta usar o tcpdump ou wireshark para capturar o tráfego, limitado a esse endereço IP. Você também pode usar os contadores do iptables, etc.

Eu fiz isso (usando wireshark), a máquina que eu testei tem menos portas TCP abertas (5), mas os totais eram pacotes de 2009, 118.474 bytes. Isso levou 1,4 segundos, então 1435 pps ou 677 kbps. Nem deve derrubar uma rede razoavelmente configurada.

A criação de destinos adicionais pode sobrecarregar o rastreamento de conexão de um firewall com informações de estado, se a verificação passar por um firewall. E é claro que executar o nmap provavelmente fará com que qualquer sistema de detecção de intrusões seja alarmado - o que possivelmente desperdiçaria o tempo de alguém investigando.

Por fim, o nmap (por padrão) não verifica todas as portas e os IDSs baseados em host podem detectar e responder à varredura - ambos significam que você não necessariamente obtém respostas precisas.

    
por 11.05.2015 / 22:39
8

Eu vi os interruptores inteligentes (quebrados) serem desativados devido à atividade do nmap, mas isso foi quando o nmapping de uma sub-rede (então o tráfego ARP para vários endpoints diferentes). Esse pode ser o tipo de problema que ele está pensando.

Agora, os sistemas de detecção de invasões tentam detectar atividades de varredura de portas e podem ser configurados para bloquear o endereço IP do host que realiza a varredura.

Se houver um roteador SNATing entre você e o host de destino e um IDS entre esse roteador e o host de destino, o endereço IP de mascaramento desse roteador pode acabar sendo bloqueado, já que seria o que aparece como origem dessas varreduras. Isso pode afetar a conectividade com todas as redes além do IDS.

Além disso, o mapeamento nmap de um único host na mesma sub-rede não gerará muito tráfego nem causará interrupções (a não ser no host de envio e recebimento).

    
por 11.05.2015 / 22:38
1

Você é um administrador de rede? Se você não é, eu acho que o seu gerente de TI não estava preocupado com o uso excessivo de largura de banda, mas sim com o fato de que 1) você estava mexendo com a rede e 2) nmap digitalização pode travar aplicativos :

It should also be noted that Nmap has been known to crash certain poorly written applications, TCP/IP stacks, and even operating systems. Nmap should never be run against mission critical systems unless you are prepared to suffer downtime. We acknowledge here that Nmap may crash your systems or networks and we disclaim all liability for any damage or problems Nmap could cause. Because of the slight risk of crashes and because a few black hats like to use Nmap for reconnaissance prior to attacking systems, there are administrators who become upset and may complain when their system is scanned. Thus, it is often advisable to request permission before doing even a light scan of a network.

Note que o nmap deve travar um aplicativo, é porque o aplicativo está mal escrito, não é culpa do nmap. O Nmap é uma ferramenta bem reconhecida e útil que deve ser amplamente utilizada pelos administradores de rede ao gerenciar sua própria rede.

    
por 12.05.2015 / 12:14