호스트에 대한 간단한 nmap은 몇 바이트입니까?


9

오늘 IT 관리자는 내가 관리하는 3 대의 서버에서 nmap을 사용하여 열려있는 포트를 확인했기 때문에 화를 냈습니다. 호스트 쉘 내부에서 netstat를 사용할 수 있다는 것을 알고 있습니다.

그는 "nmap으로 인해 네트워크가 다운되면 처벌 될 것"이라고 말했습니다. 기술적으로 / 바이트가있는 네트워크 대역폭이 nmap 192.168.1.x어느 출력을 취할지 알고 싶습니다 .

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds

답변:


12

최소한 머신이 통신하지 않는 호스트를 nmap하는 경우 측정하기가 쉽습니다. tcpdump 또는 wireshark를 사용하여 해당 IP 주소로 제한된 트래픽을 캡처하십시오. iptables 카운터 등을 사용할 수도 있습니다.

필자는 테스트 한 컴퓨터에 개방형 TCP 포트 수가 적었지만 (총 5 개) 2009 패킷은 118,474 바이트였습니다. 1.4 초가 걸렸으므로 1435pps 또는 677kbps입니다. 합리적으로 구성된 네트워크를 중단해서는 안됩니다.

스캔을 통해 방화벽을 통과 한 경우 추가 대상을 수행하면 상태 저장 방화벽의 연결 추적을 압도 할 수 있습니다. 물론 nmap을 실행하면 침입 탐지 시스템이 경보를 일으켜 잠재적으로 누군가의 조사 시간을 낭비하게됩니다.

마지막으로, nmap (기본적으로)은 모든 포트를 검사하지 않으며 호스트 기반 IDS가 검색을 감지하고 응답 할 수 있습니다. 둘 다 정확한 답변을 얻지 않아도됩니다.


1
따라서 메일에 사진을 첨부하는 것보다 네트워크 대역폭이 적습니다. 감사합니다
JorgeeFG

4
@ 조지, 네트워크를 다운시키는 대역폭 사용량높지 는 않습니다 . 예를 들어 하나의 TCP 연결을 통해 1 페타 바이트를 전송해도 네트워크가 다운되지 않습니다. 특정 유형의 트래픽은 나쁜 결과를 초래할 수 있습니다.
Stéphane Chazelas

@ StéphaneChazelas 나는 당신의 대답과 그것의 아주 좋은 점을 읽었으며 그것을 고려할 것입니다. 감사! +1
JorgeeFG

1
@Jorge No. 118474 ÷ 1.4 ÷ 1024≈83 KiB / s 또는 118474 ÷ 1.4 ÷ 1000≈85 kB / s (1024-1000 킬로바이트 정의)입니다. 그러나 대역폭은 전통적 으로 초당 비트 수와 킬로 비트 당 1000 비트로 측정 되므로 ≈677kbps입니다. (이 숫자는 모두 반올림되었으므로 677 ÷ 8 ≠ 85입니다.)
derobert

1
Nmap 자체는 -v플래그 를 사용할 때 일부 스캔 유형에 대해 전송하는 바이트 수를 알려줍니다 .Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)
bonsaiviking

8

nmap 활동으로 인해 스마트 스위치가 중단되는 것을 보았지만 서브넷을 nmapping 할 때였습니다 (따라서 많은 다른 엔드 포인트에 대한 ARP 트래픽). 그가 생각하고있는 문제 일 수도 있습니다.

이제 침입 감지 시스템은 포트 스캐닝 활동을 시도하고 감지하며 스캐닝을 수행하는 호스트의 IP 주소를 차단하도록 구성 될 수 있습니다.

사용자와 대상 호스트 사이에 SNATing 라우터가 있고 해당 라우터와 대상 호스트 사이에 IDS가있는 경우 해당 라우터의 마스커레이딩 IP 주소가 스캔의 소스로 나타나는 것처럼 차단 될 수 있습니다 . 이는 해당 IDS 이외의 모든 네트워크에 대한 연결에 영향을 줄 수 있습니다.

그 외에는 동일한 서브넷에서 단일 호스트를 nmapping해도 많은 트래픽이 발생하지 않으며 (송신 및 수신 호스트가 아닌) 중단이 발생하지 않습니다.


1

네트워크 관리자입니까? 그렇지 않다면 IT 관리자가 대역폭을 과도하게 사용하는 것이 아니라 1) 네트워크에 땜질 중이고 2) nmap 스캐닝 이 응용 프로그램을 중단시킬 수 있다는 사실에 관심이 있다고 생각합니다 .

또한 Nmap은 잘못 작성된 특정 응용 프로그램, TCP / IP 스택 및 운영 체제를 충돌시키는 것으로 알려져 있습니다. 가동 중지 시간을 겪을 준비가되어 있지 않으면 Nmap을 미션 크리티컬 시스템에 대해 실행해서는 안됩니다. 우리는 Nmap이 시스템이나 네트워크에 충돌을 일으킬 수 있음을 인정하며 Nmap으로 인해 발생할 수있는 모든 손상이나 문제에 대한 모든 책임을 부인합니다. 약간의 충돌 위험이 있고 시스템을 공격하기 전에 정찰을 위해 Nmap을 사용하는 몇 가지 검은 모자가 있기 때문에 관리자가 시스템을 검사 할 때 화를 내고 불만을 제기 할 수 있습니다. 따라서 네트워크를 약하게 스캔하기 전에 권한을 요청하는 것이 좋습니다.

nmap은 응용 프로그램을 중단해야합니다. nmap의 결함이 아니라 응용 프로그램이 잘못 작성 되었기 때문입니다. Nmap은 네트워크 관리자가 자체 네트워크를 관리 할 때 널리 사용해야하는 잘 알려져 있고 유용한 도구입니다.


질문은 그가 대상 서버를 관리하고 있음을 분명히 나타냅니다. 그것이 사실이라고 가정하면 서버에서 nmap을 실행하기에 충분한 정당화를 고려할 것입니다. nmap 명령과 서버 사이의 전체 네트워크 경로를 관리 할 필요는 없으며 해당 네트워크의 합법적 인 사용자 여야합니다. 네트워크의 목적은 해당 패킷의 내용을 해석하지 않고 엔드 포인트간에 패킷을 전송하는 것입니다. 네트워크 관리자가이를 벗어나고 프로세스가 네트워크의 안정성을 떨어 뜨리도록 선택한 경우 사용자가 아니라 관리자를 비난합니다.
kasperd 10

나는 당신에게 동의하지만 "특별한 사람"이고 아마도 자신의 직무에 능숙하지 않은 IT 관리자가 어떻게 반응하는지 이해합니다.
dr_

자신이 모르는 영역에 대한 의견을 가진 관리자를 다루는 방법은 유닉스 질문이 아닙니다. 그러나 그것은 적합 할 수있다 workplace.stackexchange.com
kasperd
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.