호스트에 대한 간단한 nmap은 몇 바이트입니까?

오늘 IT 관리자는 내가 관리하는 3 대의 서버에서 nmap을 사용하여 열려있는 포트를 확인했기 때문에 화를 냈습니다. 호스트 쉘 내부에서 netstat를 사용할 수 있다는 것을 알고 있습니다.

그는 "nmap으로 인해 네트워크가 다운되면 처벌 될 것"이라고 말했습니다. 기술적으로 / 바이트가있는 네트워크 대역폭이 nmap 192.168.1.x어느 출력을 취할지 알고 싶습니다 .

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds

networking nmap

— 호르헤
소스

답변:

최소한 머신이 통신하지 않는 호스트를 nmap하는 경우 측정하기가 쉽습니다. tcpdump 또는 wireshark를 사용하여 해당 IP 주소로 제한된 트래픽을 캡처하십시오. iptables 카운터 등을 사용할 수도 있습니다.

필자는 테스트 한 컴퓨터에 개방형 TCP 포트 수가 적었지만 (총 5 개) 2009 패킷은 118,474 바이트였습니다. 1.4 초가 걸렸으므로 1435pps 또는 677kbps입니다. 합리적으로 구성된 네트워크를 중단해서는 안됩니다.

스캔을 통해 방화벽을 통과 한 경우 추가 대상을 수행하면 상태 저장 방화벽의 연결 추적을 압도 할 수 있습니다. 물론 nmap을 실행하면 침입 탐지 시스템이 경보를 일으켜 잠재적으로 누군가의 조사 시간을 낭비하게됩니다.

마지막으로, nmap (기본적으로)은 모든 포트를 검사하지 않으며 호스트 기반 IDS가 검색을 감지하고 응답 할 수 있습니다. 둘 다 정확한 답변을 얻지 않아도됩니다.

— 로버트
소스

따라서 메일에 사진을 첨부하는 것보다 네트워크 대역폭이 적습니다. 감사합니다

— JorgeeFG

@ 조지, 네트워크를 다운시키는 대역폭 사용량 이 높지 는 않습니다 . 예를 들어 하나의 TCP 연결을 통해 1 페타 바이트를 전송해도 네트워크가 다운되지 않습니다. 특정 유형의 트래픽은 나쁜 결과를 초래할 수 있습니다.

— Stéphane Chazelas

@ StéphaneChazelas 나는 당신의 대답과 그것의 아주 좋은 점을 읽었으며 그것을 고려할 것입니다. 감사! +1

— JorgeeFG

@Jorge No. 118474 ÷ 1.4 ÷ 1024≈83 KiB / s 또는 118474 ÷ 1.4 ÷ 1000≈85 kB / s (1024-1000 킬로바이트 정의)입니다. 그러나 대역폭은 전통적 으로 초당 비트 수와 킬로 비트 당 1000 비트로 측정 되므로 ≈677kbps입니다. (이 숫자는 모두 반올림되었으므로 677 ÷ 8 ≠ 85입니다.)

— derobert

Nmap 자체는 -v플래그 를 사용할 때 일부 스캔 유형에 대해 전송하는 바이트 수를 알려줍니다 .Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)

— bonsaiviking

nmap 활동으로 인해 스마트 스위치가 중단되는 것을 보았지만 서브넷을 nmapping 할 때였습니다 (따라서 많은 다른 엔드 포인트에 대한 ARP 트래픽). 그가 생각하고있는 문제 일 수도 있습니다.

이제 침입 감지 시스템은 포트 스캐닝 활동을 시도하고 감지하며 스캐닝을 수행하는 호스트의 IP 주소를 차단하도록 구성 될 수 있습니다.

사용자와 대상 호스트 사이에 SNATing 라우터가 있고 해당 라우터와 대상 호스트 사이에 IDS가있는 경우 해당 라우터의 마스커레이딩 IP 주소가 스캔의 소스로 나타나는 것처럼 차단 될 수 있습니다 . 이는 해당 IDS 이외의 모든 네트워크에 대한 연결에 영향을 줄 수 있습니다.

그 외에는 동일한 서브넷에서 단일 호스트를 nmapping해도 많은 트래픽이 발생하지 않으며 (송신 및 수신 호스트가 아닌) 중단이 발생하지 않습니다.

— 스테판 샤 첼라
소스

네트워크 관리자입니까? 그렇지 않다면 IT 관리자가 대역폭을 과도하게 사용하는 것이 아니라 1) 네트워크에 땜질 중이고 2) nmap 스캐닝 이 응용 프로그램을 중단시킬 수 있다는 사실에 관심이 있다고 생각합니다 .

또한 Nmap은 잘못 작성된 특정 응용 프로그램, TCP / IP 스택 및 운영 체제를 충돌시키는 것으로 알려져 있습니다. 가동 중지 시간을 겪을 준비가되어 있지 않으면 Nmap을 미션 크리티컬 시스템에 대해 실행해서는 안됩니다. 우리는 Nmap이 시스템이나 네트워크에 충돌을 일으킬 수 있음을 인정하며 Nmap으로 인해 발생할 수있는 모든 손상이나 문제에 대한 모든 책임을 부인합니다. 약간의 충돌 위험이 있고 시스템을 공격하기 전에 정찰을 위해 Nmap을 사용하는 몇 가지 검은 모자가 있기 때문에 관리자가 시스템을 검사 할 때 화를 내고 불만을 제기 할 수 있습니다. 따라서 네트워크를 약하게 스캔하기 전에 권한을 요청하는 것이 좋습니다.

nmap은 응용 프로그램을 중단해야합니다. nmap의 결함이 아니라 응용 프로그램이 잘못 작성 되었기 때문입니다. Nmap은 네트워크 관리자가 자체 네트워크를 관리 할 때 널리 사용해야하는 잘 알려져 있고 유용한 도구입니다.

— dr_
소스

질문은 그가 대상 서버를 관리하고 있음을 분명히 나타냅니다. 그것이 사실이라고 가정하면 서버에서 nmap을 실행하기에 충분한 정당화를 고려할 것입니다. nmap 명령과 서버 사이의 전체 네트워크 경로를 관리 할 필요는 없으며 해당 네트워크의 합법적 인 사용자 여야합니다. 네트워크의 목적은 해당 패킷의 내용을 해석하지 않고 엔드 포인트간에 패킷을 전송하는 것입니다. 네트워크 관리자가이를 벗어나고 프로세스가 네트워크의 안정성을 떨어 뜨리도록 선택한 경우 사용자가 아니라 관리자를 비난합니다.

— kasperd 10

나는 당신에게 동의하지만 "특별한 사람"이고 아마도 자신의 직무에 능숙하지 않은 IT 관리자가 어떻게 반응하는지 이해합니다.

— dr_

자신이 모르는 영역에 대한 의견을 가진 관리자를 다루는 방법은 유닉스 질문이 아닙니다. 그러나 그것은 적합 할 수있다 workplace.stackexchange.com

— kasperd