호스트에 대한 간단한 nmap은 몇 바이트를 차지합니까?

호스트에 대한 간단한 nmap은 몇 바이트를 차지합니까?

오늘 IT 관리자는 3개의 서버에서 nmap을 사용하여 어떤 포트가 열려 있는지 확인했기 때문에 화를 냈습니다. 호스트 셸 내에서 netstat를 사용할 수 있다는 것을 알고 있습니다.

그는 나에게 "nmap 때문에 네트워크가 다운되면 처벌을 받을 것"이라고 말했습니다. nmap 192.168.1.x어떤 출력을 차지할 네트워크 대역폭/바이트의 양을 기술적으로 알고 싶습니다 .

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
22/tcp    open  ssh
79/tcp    open  finger
80/tcp    open  http
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds

답변1

적어도 당신의 머신이 통신하지 않는 호스트를 nmap한다면 이는 측정하기 쉽습니다. tcpdump 또는 Wireshark를 사용하여 해당 IP 주소로 제한된 트래픽을 캡처하세요. iptables 카운터 등을 사용할 수도 있습니다.

나는 Wireshark를 사용하여 이 작업을 수행했으며 테스트한 컴퓨터에는 열린 TCP 포트 수가 더 적었지만(5) 총 개수는 2009 패킷, 118,474바이트였습니다. 1.4초가 소요되며 이는 1435pps 또는 677kbps입니다. 둘 다 적절하게 구성된 네트워크를 방해해서는 안 됩니다.

검사가 방화벽을 통과하는 경우 다른 대상을 실행하면 상태 저장 방화벽의 연결 추적이 압도될 수 있습니다. 물론 nmap을 실행하면 침입 탐지 시스템에서 경고가 발생하여 누군가의 조사 시간이 낭비될 수 있습니다.

마지막으로 nmap(기본값)은 모든 포트를 확인하지 않으며 호스트 기반 IDS는 스캔을 감지하고 응답할 수 있습니다. 이는 둘 다 반드시 정확한 답변을 얻을 수는 없음을 의미합니다.

답변2

nmap 활동으로 인해 (깨진) 스마트 스위치가 다운되는 것을 본 적이 있지만 이는 nmap 서브넷에 있을 때였습니다(따라서 다양한 엔드포인트에 대한 ARP 트래픽). 아마도 그 사람도 그렇게 생각하고 있을 겁니다.

침입 탐지 시스템은 이제 포트 스캔 활동을 탐지하려고 시도하며 스캔을 수행하는 호스트의 IP 주소를 차단하도록 구성할 수 있습니다.

귀하와 대상 호스트 사이에 SNATing 라우터가 있고 해당 라우터와 대상 호스트 사이에 IDS가 있는 경우 해당 라우터의 스푸핑된 IP 주소가 이러한 검색의 소스 주소가 되므로 결국 차단될 수 있습니다. 이는 IDS 외부의 모든 네트워크에 대한 연결에 영향을 미칠 수 있습니다.

그 외에는 동일한 서브넷에 단일 호스트를 매핑해도 많은 트래픽이 생성되거나 중단이 발생하지 않습니다(송신 및 수신 호스트 제외).

답변3

네트워크 관리자이신가요? 그렇지 않다면 IT 관리자가 과도한 대역폭 사용을 걱정하는 것은 아니지만 1) 네트워크를 수정하고 있고 2) nmap 스캐닝을 하고 있는 것입니다.응용프로그램이 충돌할 수 있음:

또한 Nmap은 잘못 작성된 특정 애플리케이션, TCP/IP 스택, 심지어 운영 체제까지 충돌시키는 것으로 알려져 있습니다. 가동 중지 시간을 겪을 준비가 되어 있지 않은 한 Nmap은 미션 크리티컬 시스템에서 실행되어서는 안 됩니다. 우리는 Nmap이 귀하의 시스템이나 네트워크에 충돌을 일으킬 수 있다는 점을 인정하며, Nmap으로 인해 발생할 수 있는 피해나 문제에 대해 책임을 지지 않습니다. 충돌 위험은 최소화되고 일부 블랙 해커는 시스템을 공격하기 전에 정찰을 위해 Nmap을 사용하기를 원하므로 일부 관리자는 시스템을 검사할 때 불안감을 느끼고 불만을 표시할 수 있습니다. 따라서 일반적으로 네트워크 라이트 스캔을 수행하기 전에 권한을 요청하는 것이 좋습니다.

nmap이 애플리케이션과 충돌하는 경우 이는 nmap의 잘못이 아니라 애플리케이션이 제대로 작성되지 않았기 때문입니다. Nmap은 네트워크 관리자가 자신의 네트워크를 관리할 때 광범위하게 사용해야 하는 인정받고 유용한 도구입니다.

관련 정보