" tcpwrapped " si riferisce a tcpwrapper , un programma di controllo dell'accesso alla rete basato su host su Unix e Linux. Quando Nmap etichetta qualcosa tcpwrapped , significa che il comportamento della porta è coerente con quello protetto da tcpwrapper. In particolare, significa che è stato completato un handshake TCP completo, ma l'host remoto ha chiuso la connessione senza ricevere alcun dato.

È importante notare che tcpwrapper protegge i programmi , non le porte . Ciò significa che una risposta tcpwrapped valida (non falsa positiva) indica che è disponibile un servizio di rete reale, ma non sei nell'elenco degli host autorizzati a parlare con esso. Quando un numero così elevato di porte viene mostrato come tcpwrapped , è improbabile che rappresentino servizi reali, quindi il comportamento probabilmente significa qualcos'altro.

Quello che probabilmente stai vedendo è un dispositivo di sicurezza di rete come un firewall o IPS. Molti di questi sono configurati per rispondere a portscan TCP, anche per indirizzi IP che non sono loro assegnati. Questo comportamento può rallentare una scansione della porta e offuscare i risultati con falsi positivi.

EDIT: poiché questo post è stato contrassegnato come plagio ed è stato eliminato, vorrei sottolineare che la fonte presunta ( questo pagina su SecWiki.org) è stato scritto anche da me. Questa risposta di Security.StackExchange (31 ottobre 2013) precede quella pagina (12 novembre 2013) di quasi due settimane.

Stai cercando di mappare le regole del firewall. Gli strumenti di "Firewalking" potrebbero aiutare con questo, ma non ho grandi speranze.

• Prova a rallentare la velocità. Stai usando T2, che è molto veloce e potresti ottenere risultati strani.
• Prova a non utilizzare -A, ma specifica l'opzione -sV direttamente
• Prova a cercare opportunità di "port knocking"
• Prova a utilizzare un artigiano di pacchetti, come scapy o hping3 per analizzare veramente il traffico che invii e provare a mappare cosa può passare.

Potresti provare a usare nmap -sV che acquisirà l'intestazione e le informazioni sulla versione. Tutte le porte TCP saranno ancora aperte (ovviamente non c'è niente che puoi fare al riguardo), ma potresti grep e trovare banner interessanti e andare da lì.

Ho lottato con questo problema per una settimana e l'unica risposta che ho ottenuto è stata questa: non c'è niente da bypassare! Ora ho capito che non c'è niente da bypassare. Un handshake TCP viene completato durante la scansione ma la connessione verrà chiusa dall'applicazione dietro quella porta. Quindi prova a connetterti alla porta con nc:

  nc -v <IP> <port>  

Vedrai che puoi connetterti con la porta.

Uno dei modi in cui sono riuscito a bypassare un firewall Baracuda che esegue il wrapping di TCP su tutte le porte e termina l'handshake a 3 vie per loro conto è stato quello di eseguire la scansione utilizzando una sola porta come i più famosi TCP80, TCP443, UDP53 dell'intervallo , se l'intervallo di indirizzi IP è ampio, sceglierei i primi per testarli. Ci sono alcune tecniche sul sito nmap come frammentazione, esca, porta inattiva e così via, ma quelle per qualche motivo non danno buoni risultati nel caso di wrapping TCP da parte di un firewall o IPS.

metodi testati

  nmap -PS80 TARGET nmap -PS443 TARGET nmap -PU53 TARGET nmap -PU161 TARGET nmap -PS3389 TARGET  

-PU161 ha mostrato meno aprire le porte rispetto agli altri metodi.

Anche se questo è stato chiesto molti anni fa, lascerò solo alcuni suggerimenti per i futuri tester di nmap

  -A è molto rumoroso e lo farà essere catturato da IDS e bloccato da un firewall o da un IPS-sV stessa cosa che esegue diversi script per sapere che i servizi in esecuzione-O verranno anch'essi contrassegnati 

nello scenario peggiore, se tutto viene oscurato fallo manualmente, cercando le porte più comuni una per una, -p80 su una e -p443 sull'altra e così via Puoi rallentare notevolmente le cose usando -T0 ma la scansione impiegherà un'eternità per finire poiché sonderà una volta ogni pochi minuti es, 5 se non sbaglio.

  -vv non è un problema-n è utile anche se non sei preoccupato per la risoluzione DNS  

I rimuovere anche il min-parallelismo o abbassarlo a un numero molto basso.

https://www.enisa.europa.eu/activities/cert/support/chiht/tools/tcpd-tcpwrapper è un buon articolo veloce su tcpwrapped. Probabilmente è un firewall a cui non piace il tuo IP, quindi interrompe la connessione.

A meno che tu non possa capire quali IP gli piacciono o indurlo a pensare che sei un IP LAN (non so se questo è possibile tbh) quindi non penso che tu possa scoprire quali sono quelle porte. Puoi anche provare a connetterti direttamente alle porte e vedere se rispondono a qualche protocollo (crea un paio di file di testo che hanno richieste tipiche di "ciao" per ogni proto, come GET / HTTP / 1.0 o qualsiasi altra cosa) e quindi ncat xxxx port < httpget.txt

Assicurati di essere autorizzato ad accedere a questa rete prima di tentare di farlo.

Esegui nmap come utente root. Sembra che tu abbia eseguito nmap come utente non privilegiato (cioè non come utente root).

Quando nmap viene eseguito come utente non root, esegue una scansione TCP per impostazione predefinita.

TCPwrapper è un software sulla macchina host che chiude la connessione TCP dopo un handshake a tre vie quando il client non ha accesso a una particolare porta. Quindi esegui nmap come utente root che utilizza la scansione stealth SYN per la scansione delle porte.