" tcpwrapped " fait référence à tcpwrapper , un programme de contrôle d'accès au réseau basé sur l'hôte sous Unix et Linux. Lorsque Nmap étiquette quelque chose tcpwrapped , cela signifie que le comportement du port est cohérent avec celui qui est protégé par tcpwrapper. Plus précisément, cela signifie qu'une prise de contact TCP complète a été effectuée, mais que l'hôte distant a fermé la connexion sans recevoir de données.

Il est important de noter que tcpwrapper protège les programmes , pas les ports . Cela signifie qu'une réponse tcpwrapped valide (et non fausse-positive) indique qu'un service réseau réel est disponible, mais que vous n'êtes pas sur la liste des hôtes autorisés à parler avec lui. Lorsqu'un si grand nombre de ports sont affichés comme tcpwrapped , il est peu probable qu'ils représentent de vrais services, donc le comportement signifie probablement autre chose.

Ce que vous voyez est probablement un périphérique de sécurité réseau comme un pare-feu ou IPS. Beaucoup d'entre eux sont configurés pour répondre aux analyses de ports TCP, même pour les adresses IP qui ne leur sont pas attribuées. Ce comportement peut ralentir une analyse de port et assombrir les résultats avec de faux positifs.

EDIT: Puisque ce message a été signalé comme plagiat et supprimé, je voudrais souligner que la source présumée ( ceci page sur SecWiki.org) a également été écrite par moi. Cette réponse Security.StackExchange (31 octobre 2013) est antérieure à cette page (12 novembre 2013) de près de deux semaines.

Vous essayez de définir les règles de pare-feu. Les outils «Firewalking» pourraient aider avec cela, mais je n'ai pas de grands espoirs.

• Essayez de ralentir votre vitesse. Vous utilisez T2, qui est très rapide et vous pourriez obtenir des résultats étranges.
• Essayez de ne pas utiliser -A, mais spécifiez directement le commutateur -sV
• Essayez de rechercher des opportunités de "port knocking"
• Essayez d'utiliser un fabricant de paquets, tel que scapy ou hping3 pour vraiment explorer le trafic que vous envoyez et essayer de cartographier ce qui peut passer.

Vous pouvez essayer d'utiliser nmap -sV qui récupérera les informations d'en-tête et de version. Tous les ports TCP seront toujours ouverts (évidemment, vous ne pouvez rien faire à ce sujet), mais vous pouvez cependant grep et trouver des bannières intéressantes et partir de là.

Je me suis débattu avec ce problème pendant une semaine et la seule réponse que j'ai eue était la suivante: il n'y a rien à contourner! Maintenant, j'ai réalisé qu'il n'y avait rien à contourner vraiment. Une négociation TCP est terminée lorsque vous scannez mais la connexion sera fermée par l'application derrière ce port. Alors essayez simplement de vous connecter au port avec nc:

  nc -v <IP> <port>  

Vous verrez que vous pouvez vous connecter avec le port.

L'une des façons dont j'ai pu contourner un pare-feu Baracuda qui enveloppait tous les ports et terminait la négociation à trois en leur nom était de scanner en utilisant un seul port, comme le plus célèbre TCP80, TCP443, UDP53 de la gamme , si la plage d'adresses IP est grande, je choisirais les premières pour les tester. Il existe quelques techniques sur le site nmap telles que la fragmentation, le leurre, le port inactif, etc., mais celles-ci pour une raison quelconque ne donnent pas de bons résultats dans le cas du wrapping TCP par un pare-feu ou IPS.

méthodes testées

  nmap -PS80 TARGET nmap -PS443 TARGET nmap -PU53 TARGET nmap -PU161 TARGET nmap -PS3389 TARGET  

le -PU161 a montré moins des ports ouverts que les autres méthodes.

Bien que cela ait été demandé il y a de nombreuses années, je vais juste laisser quelques indices pour les futurs testeurs de nmap

  -A est très bruyant et va être attrapé par IDS et bloqué par un pare-feu ou un IPS-sV même chose car il exécute plusieurs scripts pour savoir que les services exécutant-O seront également signalés 

dans le pire des cas, si tout est noirci, faites-le manuellement, en recherchant les ports les plus courants un par un, -p80 sur l'un et -p443 sur un autre et ainsi de suite.Vous pouvez ralentir considérablement les choses en utilisant -T0 mais l'analyse prendra une éternité pour se terminer car il sondera une fois toutes les quelques minutes es, 5 si je ne me trompe pas.

  -vv n'est pas un problème-n est également utile si vous n'êtes pas préoccupé par la résolution DNS  

I J'enlèverais également le mini-parallélisme ou le réduirais à un nombre très bas.

https://www.enisa.europa.eu/activities/cert/support/chiht/tools/tcpd-tcpwrapper est un bon article rapide sur tcpwrapped. C'est probablement un pare-feu qui n'aime pas votre adresse IP, donc il ne fait que interrompre votre connexion.

À moins que vous ne puissiez déterminer quelles adresses IP il aime ou lui faire croire que vous êtes une IP LAN (je ne sais pas si c'est possible tbh) alors je ne pense pas que vous puissiez découvrir ce que sont ces ports. Vous pouvez également essayer ncat pour vous connecter directement aux ports et voir s'ils répondent à des protocoles (créez quelques fichiers texte contenant des requêtes "bonjour" typiques pour chaque proto, comme GET / HTTP / 1.0 ou autre) puis ncat xxxx port < httpget.txt

Veuillez vous assurer que vous êtes autorisé à accéder à ce réseau avant d'essayer.

Exécutez nmap en tant qu'utilisateur root. Il semble que vous ayez exécuté nmap en tant qu'utilisateur non privilégié (c'est-à-dire pas en tant qu'utilisateur root).

Lorsque nmap s'exécute en tant qu'utilisateur non root, il effectue un scan TCP par défaut.

TCPwrapper est un logiciel sur la machine hôte qui ferme la connexion TCP après une négociation à trois lorsque le client n'a pas accès à un port particulier. Alors lancez nmap en tant qu'utilisateur root qui utilise l'analyse furtive SYN pour l'analyse des ports.