Come bypassare tcpwrapped con scan nmap

" tcpwrapped " si riferisce a tcpwrapper , un programma di controllo dell'accesso alla rete basato su host su Unix e Linux. Quando Nmap etichetta qualcosa tcpwrapped , significa che il comportamento della porta è coerente con quello che è protetto da tcpwrapper. In particolare, significa che è stato completato un handshake TCP completo, ma l'host remoto ha chiuso la connessione senza ricevere alcun dato.

È importante notare che tcpwrapper protegge i programmi , non le porte. Ciò significa che una risposta di tcpwrapped valida (non falsa positiva) indica che è disponibile un vero servizio di rete, ma non sei nella lista degli host autorizzati a parlarne. Quando un numero così elevato di porte viene visualizzato come tcpwrapped , è improbabile che rappresentino servizi reali, quindi il comportamento probabilmente significa qualcos'altro.

Quello che probabilmente vedi è un dispositivo di sicurezza di rete come un firewall o IPS. Molti di questi sono configurati per rispondere ai portscans TCP, anche per gli indirizzi IP a cui non sono assegnati. Questo comportamento può rallentare una scansione delle porte e offuscare i risultati con falsi positivi.

EDIT: poiché questo post è stato contrassegnato come plagio e cancellato, vorrei sottolineare che la fonte presunta ( questa pagina su SecWiki.org ) è stato anche scritto da me. Questa risposta Security.StackExchange (31 ottobre 2013) è precedente a quella pagina (12 novembre 2013) di quasi due settimane.

Stai cercando di mappare le regole del firewall. Gli strumenti 'Firewalking' potrebbero aiutare in questo, ma non ho grandi speranze.

• Prova a rallentare la velocità. Stai usando T2, che è molto veloce e potresti avere risultati strani.
• Prova a non utilizzare -A, ma specifica direttamente l'opzione -sV
• Prova a cercare opportunità di "port knocking"
• Prova a utilizzare un packet crafter, come scapy o hping3 per approfondire il traffico che invii e provare a mappare ciò che può attraversare.

Potresti provare a usare nmap -sV che catturerà l'intestazione e le informazioni sulla versione. Tutte le porte TCP rimarranno aperte (ovviamente non c'è nulla che tu possa fare al riguardo), ma potresti comunque accettare e trovare banner interessanti e andare da lì.

Questo post descrive tcpwrapped come qualcosa di comune con gli host Windows. Oltre a questo non ne sono abbastanza sicuro.

Il link è un buon articolo su tcpwrapped. Probabilmente è un firewall a cui non piace il tuo IP, quindi non fa altro che abbandonare la tua connessione. A meno che tu non sia in grado di capire quali IP preferiscano o indurli a pensare al tuo IP LAN (non so se sia possibile farlo da tbh), allora non penso che tu possa scoprire quali siano queste porte. Si potrebbe anche provare ncat a connettersi direttamente alle porte tye e vedere se rispondono a qualsiasi protocollo (creare un paio di file di testo con le tipiche richieste "ciao" per ogni proto, come "GET / HTTP / 1.0" o qualsiasi altra cosa) e poi porta ncat xxxx < httpget.txt

PER FAVORE ASSICURA CHE SEI AUTORIZZATO AD ACCEDERE A QUESTA RETE PRIMA DI TENTARE.

Ero alle prese con questo problema per una settimana e l'unica risposta che ho ottenuto è stata questa: non c'è niente da bypassare lì! Ora mi sono reso conto che niente da bypassare davvero. Quando si esegue la scansione, viene completato un handshake TCP, ma la connessione verrà chiusa dall'applicazione dietro quella porta. Quindi prova a connetterti alla porta con nc:

nc -v <IP> <port>

Vedrai che puoi connetterti con la porta.

Prova questo:

nmap -sS -Pn -sV IPaddress 

Ricorda -Pn e anche la velocità è lenta.