今天 IT 经理生气了,因为我在我管理的 3 个服务器上使用了 nmap 来查看它们打开了哪些端口。我知道我可以在主机的 shell 中使用 netstat。
他告诉我“如果网络因为 nmap 出现故障,我会受到惩罚”。我想从技术上知道有多少网络带宽/字节需要nmap 192.168.1.x输出:
Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-11 13:33 ART
Nmap scan report for 192.168.x.53
Host is up (0.0043s latency).
Not shown: 983 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
22/tcp open ssh
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
119/tcp open nntp
143/tcp open imap
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open cisco-sccp
6667/tcp open irc
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
Nmap done: 1 IP address (1 host up) scanned in 3.28 seconds
der*_*ert 12
这很容易衡量,至少如果你 nmap 一个主机,你的机器没有与之通信。只需使用 tcpdump 或 wireshark 来捕获流量,仅限于该 IP 地址。您还可以使用 iptables 计数器等。
我这样做了(使用wireshark),我测试的机器的开放TCP端口较少(5个),但总数为2009个数据包,118,474字节。这花了 1.4 秒,所以 1435 pps 或 677 kbps。也不应该关闭合理配置的网络。
如果扫描通过防火墙,则执行其他目标可能会压倒状态防火墙的连接跟踪。当然,运行 nmap 可能会导致任何入侵检测系统发出警报——可能会浪费某人的时间进行调查。
最后,nmap(默认情况下)不会检查所有端口,基于主机的 IDS 可能会检测并响应扫描——这两者都意味着您不一定会得到准确的答案。
我已经看到(损坏的)智能交换机由于 nmap 活动而停机,但那是在 nmap 子网时(因此许多不同端点的 ARP 流量)。这可能就是他想的那种问题。
现在入侵检测系统确实尝试检测端口扫描活动,并且可以配置为阻止进行扫描的主机的 IP 地址。
如果您和目标主机之间有一个 SNATing 路由器,并且该路由器和目标主机之间有一个 IDS,那么该路由器的伪装 IP 地址最终可能会被阻止,因为它会成为这些扫描的来源. 这可能会影响与该 IDS 之外的所有网络的连接。
除此之外,在同一子网上映射单个主机不会产生大量流量或造成任何中断(除了在发送和接收主机上)。
| 归档时间: |
|
| 查看次数: |
2094 次 |
| 最近记录: |