" tcpwrapped " bezieht sich auf tcpwrapper , ein hostbasiertes Netzwerkzugriffskontrollprogramm unter Unix und Linux. Wenn Nmap etwas tcpwrapped beschriftet, bedeutet dies, dass das Verhalten des Ports mit dem von tcpwrapper geschützten übereinstimmt. Insbesondere bedeutet dies, dass ein vollständiger TCP-Handshake abgeschlossen wurde, der Remote-Host jedoch die Verbindung geschlossen hat, ohne Daten zu empfangen.

Es ist wichtig zu beachten, dass tcpwrapper Programme und keine Ports schützt . Dies bedeutet, dass eine gültige (nicht falsch positive) tcpwrapped -Antwort anzeigt, dass ein echter Netzwerkdienst verfügbar ist, Sie jedoch nicht auf der Liste der Hosts stehen, die mit ihm kommunizieren dürfen. Wenn eine so große Anzahl von Ports als tcpwrapped angezeigt wird, ist es unwahrscheinlich, dass sie echte Dienste darstellen. Daher bedeutet das Verhalten wahrscheinlich etwas anderes.

Was Sie wahrscheinlich sehen, ist a Netzwerksicherheitsgerät wie eine Firewall oder IPS. Viele davon sind so konfiguriert, dass sie auf TCP-Portscans reagieren, auch für IP-Adressen, die ihnen nicht zugewiesen sind. Dieses Verhalten kann einen Port-Scan verlangsamen und die Ergebnisse mit falsch positiven Ergebnissen trüben.

BEARBEITEN: Da dieser Beitrag als Plagiat gekennzeichnet und gelöscht wurde, möchte ich darauf hinweisen, dass die angenommene Quelle ( dies Seite auf SecWiki.org) wurde auch von mir geschrieben. Diese Security.StackExchange-Antwort (31. Oktober 2013) liegt fast zwei Wochen vor dieser Seite (12. November 2013).

Sie möchten versuchen, die Firewall-Regeln zuzuordnen. "Firewalking" -Tools könnten dabei helfen, aber ich habe keine großen Hoffnungen.

• Versuchen Sie, Ihre Geschwindigkeit zu verlangsamen. Sie verwenden T2, das sehr schnell ist und möglicherweise seltsame Ergebnisse erzielt.
• Versuchen Sie, -A nicht zu verwenden, sondern geben Sie den Schalter -sV direkt an.
• Suchen Sie nach Möglichkeiten zum "Port-Knocking".
• Versuchen Sie, einen Packet Crafter zu verwenden, z scapy oder hping3, um wirklich einen Drilldown in den von Ihnen gesendeten Datenverkehr durchzuführen und herauszufinden, was durchkommen kann.

Sie können versuchen, nmap -sV zu verwenden, um die Header- und Versionsinformationen abzurufen. Alle TCP-Ports sind weiterhin geöffnet (offensichtlich können Sie nichts dagegen tun), aber Sie könnten trotzdem nach interessanten Bannern suchen und von dort aus fortfahren.

Ich hatte eine Woche lang mit diesem Problem zu kämpfen und die einzige Antwort, die ich erhielt, war folgende: Es gibt dort nichts zu umgehen! Jetzt wurde mir klar, dass es nichts wirklich zu umgehen gibt. Ein TCP-Handshake wird beim Scannen abgeschlossen, die Verbindung wird jedoch von der Anwendung hinter diesem Port geschlossen. Versuchen Sie also einfach, eine Verbindung zum Port mit nc herzustellen:

  nc -v <IP> <port>  

Sie werden sehen, dass Sie eine Verbindung mit dem Port herstellen können. P. >

Eine der Möglichkeiten, eine Baracuda-Firewall zu umgehen, die alle Ports mit TCP umhüllte und den 3-Wege-Handshake in ihrem Namen beendete, bestand darin, nur mit einem Port zu scannen, dem bekanntesten TCP80, TCP443, UDP53 im Bereich Wenn der Bereich der IP-Adressen groß ist, würde ich die ersten auswählen, um sie zu testen. Auf der nmap-Site gibt es einige Techniken wie Fragmentierung, Täuschung, Leerlaufport usw., aber diese liefern aus irgendeinem Grund keine guten Ergebnisse im Fall von TCP-Wrapping durch eine Firewall oder IPS.

getestete Methoden

  nmap -PS80 TARGET nmap -PS443 TARGET nmap -PU53 TARGET nmap -PU161 TARGET nmap -PS3389 TARGET  

Die -PU161 zeigte weniger offene Ports als die anderen Methoden.

Obwohl dies vor vielen Jahren gefragt wurde, werde ich nur einige Hinweise für zukünftige nmap-Tester hinterlassen.

  -A ist sehr laut und wird Lassen Sie sich von IDS abfangen und von einer Firewall oder einem IPS-sV blockieren, während mehrere Skripte ausgeführt werden, um zu wissen, dass die ausgeführten Dienste im schlimmsten Fall auch  

gekennzeichnet werden. Wenn alles schwarz wird, machen Sie es manuell und suchen Sie nach den häufigsten Ports nacheinander, -p80 auf einem und -p443 auf einem anderen und so weiter. Sie können die Dinge mit -T0 erheblich verlangsamen, aber der Scan wird ewig dauern, bis er abgeschlossen ist wie es alle paar Minuten einmal prüfen wird es, 5, wenn ich mich nicht irre.

  -vv ist kein Problem-n ist auch nützlich, wenn Sie sich keine Sorgen um die DNS-Auflösung machen.  

I. würde auch die Min-Parallelität entfernen oder auf eine sehr niedrige Zahl senken.

https://www.enisa.europa.eu/activities/cert/support/chiht/tools/tcpd-tcpwrapper ist ein guter kurzer Artikel über tcpwrapped. Es ist wahrscheinlich eine Firewall, die Ihre IP nicht mag, also wird nur Ihre Verbindung getrennt.

Es sei denn, Sie können herausfinden, welche IPs sie mögen, oder sie dazu verleiten, sich eine LAN-IP vorzustellen (ich weiß nicht, ob das ist möglich tbh) dann glaube ich nicht, dass man herausfinden kann, was diese Ports sind. Sie können auch versuchen, mit ncat eine direkte Verbindung zu den Ports herzustellen und zu prüfen, ob diese auf Protokolle reagieren (erstellen Sie einige Textdateien mit typischen "Hallo" -Anforderungen für jedes Proto, z. B. GET / HTTP / 1.0 oder was auch immer) und dann ncat xxxx port < httpget.txt

Bitte stellen Sie sicher, dass Sie berechtigt sind, auf dieses Netzwerk zuzugreifen, bevor Sie es versuchen.

Führen Sie nmap als Root-Benutzer aus. Anscheinend haben Sie nmap als nicht privilegierter Benutzer ausgeführt (dh nicht als Root-Benutzer).

Wenn nmap als Nicht-Root-Benutzer ausgeführt wird, führt es standardmäßig einen TCP-Scan durch.

TCPwrapper ist eine Software auf dem Host-Computer, die die TCP-Verbindung nach einem Drei-Wege-Handshake schließt, wenn der Client keinen Zugriff auf einen bestimmten Port hat. Führen Sie nmap also als Root-Benutzer aus, der den SYN-Stealth-Scan für das Port-Scannen verwendet.