Сколько байтов занимает простой nmap для хоста?

Сегодня ИТ-менеджер разозлился, потому что я использовал nmap на трех серверах, которые мне удалось узнать, какие порты у них открыты. Я знаю, что мог использовать netstat внутри оболочки хоста.

Он сказал мне: «Если сеть выйдет из строя из-за nmap, я буду наказан». Я хотел бы знать, технически, сколько пропускной способности сети / байтов будет принимать nmap 192.168.1.xкакие выходы:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds

Это достаточно легко измерить, по крайней мере, если вы nmap хоста, с которым ваша машина не общается иначе. Просто используйте tcpdump или wireshark для захвата трафика, ограниченного этим IP-адресом. Вы также можете использовать счетчики iptables и т. Д.

Я сделал это (используя wireshark), на машине, на которой я тестировал, было меньше открытых TCP-портов (5), но общее количество составило 2009 пакетов, 118 474 байта. Это заняло 1,4 секунды, то есть 1435 pps или 677 kbps. Ни один не должен разрушать разумно настроенную сеть.

Выполнение дополнительных целей может потенциально нарушить отслеживание соединения брандмауэра с отслеживанием состояния, если сканирование проходило через брандмауэр. И, конечно же, запуск nmap может вызвать тревогу у любой системы обнаружения вторжений, что может привести к потере времени на расследование.

Наконец, nmap (по умолчанию) не проверяет все порты, и IDS на хосте могут обнаружить и ответить на сканирование - оба означают, что вы не обязательно получите точные ответы.

Я видел (неработающие) интеллектуальные коммутаторы, которые выходили из строя из-за активности nmap, но это было при nmapping подсети (поэтому трафик ARP для множества разных конечных точек). Это может быть та проблема, о которой он думает.

Теперь системы обнаружения вторжений пытаются обнаружить активность сканирования портов и могут быть настроены на блокировку IP-адреса хоста, выполняющего сканирование.

Если между вами и целевым хостом есть маршрутизатор SNATing, а между этим маршрутизатором и целевым хостом есть IDS, то маскарадный IP-адрес этого маршрутизатора может оказаться заблокированным, так как он будет источником этих сканирований. , Это может повлиять на подключение ко всем сетям за пределами этой IDS.

Кроме этого, отображение одного хоста в одной подсети не будет генерировать большой трафик или вызывать какие-либо сбои (кроме как на отправляющем и принимающем хосте).

Вы администратор сети? Если нет, то я думаю, что ваш ИТ-менеджер был обеспокоен не чрезмерным использованием пропускной способности, а тем, что 1) вы работали с сетью и 2) сканирование nmap могло привести к сбою приложений :

Следует также отметить, что Nmap, как известно, приводит к сбою некоторых плохо написанных приложений, стеков TCP / IP и даже операционных систем. Nmap никогда не следует использовать против критически важных систем, если вы не готовы к простоям. Здесь мы признаем, что Nmap может привести к сбою ваших систем или сетей, и отказываемся от любой ответственности за любой ущерб или проблемы, которые может вызвать Nmap. Из-за небольшого риска сбоев и из-за того, что нескольким черным шляпам нравится использовать Nmap для разведки перед атакой систем, есть администраторы, которые расстраиваются и могут жаловаться, когда их система сканируется. Таким образом, часто рекомендуется запрашивать разрешение, прежде чем делать даже легкое сканирование сети.

Обратите внимание, что если nmap завершит работу приложения, это потому, что приложение написано плохо, а не ошибка nmap. Nmap - это общепризнанный и полезный инструмент, который должен широко использоваться сетевыми администраторами при управлении собственной сетью.