Combien d'octets occupent un nmap simple pour un hôte?

9

Aujourd'hui, le responsable informatique s'est fâché parce que j'ai utilisé nmap sur les 3 serveurs que j'ai réussi à voir quels ports ils avaient ouverts. Je sais que j'aurais pu utiliser netstat à l'intérieur du shell de l'hôte.

Il m'a dit que "si le réseau tombe en panne à cause de nmap, je serais puni". Je voudrais savoir techniquement combien de bande passante / octets de réseau prendrait une nmap 192.168.1.xsortie qui:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds
networking nmap JorgeeFG
la source

Réponses:

12

C'est assez facile à mesurer, du moins si vous mappez un hôte avec lequel votre machine ne communique pas autrement. Utilisez simplement tcpdump ou wirehark pour capturer le trafic, limité à cette adresse IP. Vous pouvez également utiliser des compteurs iptables, etc.

Je l'ai fait (en utilisant wirehark), la machine sur laquelle j'ai testé a moins de ports TCP ouverts (5), mais le total était de 2009 paquets, 118 474 octets. Cela a pris 1,4 seconde, soit 1435 pps ou 677 kbps. Aucun des deux ne devrait supprimer un réseau raisonnablement configuré.

La réalisation de cibles supplémentaires pourrait potentiellement submerger le suivi des connexions d'un pare-feu dynamique, si l'analyse passait par un pare-feu. Et bien sûr, l'exécution de nmap est susceptible de déclencher l'alarme de tout système de détection d'intrusion, ce qui pourrait faire perdre du temps à quelqu'un pour enquêter.

Enfin, nmap (par défaut) ne vérifie pas tous les ports et les IDS basés sur l'hôte peuvent détecter et répondre à l'analyse - les deux signifient que vous n'obtenez pas nécessairement des réponses précises.

derobert
la source
1
Il faut donc moins de bande passante réseau que de joindre une photo dans un courrier. Merci
JorgeeFG
4
@Jorge, ce n'est pas l'utilisation de la bande passante élevée qui provoque la panne des réseaux. Par exemple, le transfert d'un péta-octet sur une connexion TCP ne va pas mettre un réseau hors service. Certains types de trafic spécifiques peuvent avoir de graves conséquences.
Stéphane Chazelas
@ StéphaneChazelas J'ai lu votre réponse et c'est un très bon point et je vais en tenir compte. Merci! +1
JorgeeFG
1
@Jorge Non. Ce serait 118474 ÷ 1,4 ÷ 1024≈83 KiB / s ou 118474 ÷ 1,4 ÷ 1000≈85 kB / s (1024- contre 1000- définition du kilo-octet). Mais la bande passante est traditionnellement mesurée en bits par seconde, et avec 1000 bits par kilobit, donc ≈677 kbps. (Tous ces nombres ont été arrondis, c'est pourquoi 677 ÷ 8 ≠ 85.)
derobert
1
Nmap lui-même peut vous dire combien d'octets il envoie pour certains types de scan, lorsque vous utilisez le -vdrapeau:Raw packets sent: 1175 (51.676KB) | Rcvd: 1169 (46.776KB)
bonsaiviking
8

J'ai vu des commutateurs intelligents (cassés) tomber en raison de l'activité nmap, mais c'était lors de la cartographie d'un sous-réseau (donc du trafic ARP pour de nombreux points de terminaison différents). C'est peut-être le genre de problème auquel il pense.

Désormais, les systèmes de détection d'intrusion essaient de détecter l'activité de numérisation des ports et peuvent être configurés pour bloquer l'adresse IP de l'hôte effectuant la numérisation.

S'il y a un routeur SNAT entre vous et l'hôte cible, et un IDS entre ce routeur et l'hôte cible, l'adresse IP masquante de ce routeur peut finir par être bloquée car ce serait celle qui apparaît comme la source de ces analyses . Cela pourrait affecter la connectivité à tous les réseaux au-delà de cet IDS.

En dehors de cela, le mappage d'un seul hôte sur le même sous-réseau ne va pas générer beaucoup de trafic ni provoquer de perturbation (autre que sur l'hôte d'envoi et de réception).

Stéphane Chazelas
la source
1

Êtes-vous administrateur réseau? Si vous ne l'êtes pas, je pense que votre responsable informatique n'était pas concerné par la surutilisation de la bande passante mais plutôt par le fait que 1) vous bricoliez le réseau et 2) le scan nmap pouvait planter les applications :

Il convient également de noter que Nmap est connu pour planter certaines applications mal écrites, des piles TCP / IP et même des systèmes d'exploitation. Nmap ne doit jamais être exécuté contre des systèmes critiques, sauf si vous êtes prêt à subir des temps d'arrêt. Nous reconnaissons ici que Nmap peut planter vos systèmes ou réseaux et nous déclinons toute responsabilité pour tout dommage ou problème que Nmap pourrait causer. En raison du faible risque de plantages et du fait que quelques chapeaux noirs aiment utiliser Nmap pour la reconnaissance avant d'attaquer des systèmes, certains administrateurs sont contrariés et peuvent se plaindre lorsque leur système est analysé. Ainsi, il est souvent conseillé de demander la permission avant de faire même un balayage léger d'un réseau.

Notez que si nmap plante une application, c'est parce que l'application est mal écrite, ce n'est pas la faute de nmap. Nmap est un outil bien reconnu et utile qui devrait être largement utilisé par les administrateurs réseau lorsqu'ils gèrent leur propre réseau.

dr_
la source
La question indique clairement qu'il gère les serveurs cibles. En supposant que cela soit vrai, je considérerais cette justification suffisante pour exécuter nmap sur les serveurs. Vous n'avez pas besoin de gérer l'intégralité du chemin réseau entre la commande nmap et le serveur, il vous suffit d'être un utilisateur légitime de ce réseau. Le but du réseau est de transférer des paquets entre les points d'extrémité sans interpréter le contenu de ces paquets. Si un administrateur réseau choisit de s'écarter de cela et rend le réseau moins stable, je dis que c'est la faute à l'administrateur, pas aux utilisateurs.
kasperd
Je suis d'accord avec vous, mais je comprends aussi comment un responsable informatique qui est une "personne spéciale" et probablement pas très compétent dans son travail réagirait.
dr_
Comment traiter avec un gestionnaire qui a des opinions sur des domaines dont il n'a pas connaissance n'est pas une question unix cependant. Mais il peut convenir pour lieu de
travail.stackexchange.com