Cómo omitir tcpwrapped con escaneo nmap

" tcpwrapped " se refiere a tcpwrapper , un programa de control de acceso a la red basado en host en Unix y Linux. Cuando Nmap etiqueta algo tcpwrapped , significa que el comportamiento del puerto es consistente con uno que está protegido por tcpwrapper. Específicamente, significa que se completó un protocolo de enlace TCP completo, pero el host remoto cerró la conexión sin recibir ningún dato.

Es importante tener en cuenta que tcpwrapper protege programas , no los puertos. Esto significa que una respuesta tcpwrapped válida (no falsa-positiva) indica que hay un servicio de red real disponible, pero no está en la lista de hosts permitidos para hablar con él. Cuando se muestra una cantidad tan grande de puertos como tcpwrapped , es poco probable que representen servicios reales, por lo que el comportamiento probablemente signifique algo más.

Lo que probablemente está viendo es un dispositivo de seguridad de red como un firewall o IPS. Muchos de estos están configurados para responder a los puertos de TCP, incluso para las direcciones IP que no están asignadas a ellos. Este comportamiento puede ralentizar la exploración de un puerto y nublar los resultados con falsos positivos.

EDITAR: Como esta publicación se marcó como plagio y se eliminó, me gustaría señalar que la fuente asumida ( esta página en SecWiki.org ) también fue escrito por mí. Esta respuesta de Security.StackExchange (31 de octubre de 2013) es anterior a esa página (12 de noviembre de 2013) por casi dos semanas.

Está intentando intentar mapear las reglas del firewall. Las herramientas de 'Firewalking' podrían ayudar con esto, pero no tengo muchas esperanzas.

• Intenta reducir la velocidad. Está utilizando T2, que es muy rápido y es posible que obtenga resultados extraños.
• Intente no usar -A, pero especifique el conmutador -sV directamente
• Intente buscar oportunidades de 'detonación de puertos'
• Intente usar un creador de paquetes, como scapy o hping3 para profundizar en el tráfico que envía e intente identificar qué puede pasar.

Podrías intentar usar nmap -sV que capturará el encabezado y la información de la versión. Todos los puertos TCP seguirán abiertos (obviamente, no hay nada que puedas hacer al respecto), pero podrías grep y encontrar banners interesantes e ir desde allí.

Esta publicación describe tcpwrapped como algo común con los hosts de Windows. Más allá de eso no estoy muy seguro.

enlace es un buen artículo rápido sobre tcpwrapped. Es probable que sea un cortafuegos que no le guste su IP, por lo que simplemente está cayendo en su conexión. A menos que pueda averiguar qué IPs le gustan o engañarlas para que piensen que es una IP de LAN (no sé si eso es posible), entonces no creo que pueda averiguar cuáles son esos puertos. También puede probar ncat para conectarse directamente a tye ports y ver si responden a algún protocolo (haga un par de archivos de texto que tengan solicitudes típicas de "hola" para cada proto, como "GET / HTTP / 1.0" o lo que sea) y luego puerto xxxx ncat < httpget.txt

POR FAVOR, ASEGÚRESE DE QUE ESTÁ AUTORIZADO PARA ACCEDER A ESTA RED ANTES DE INTENTARLO.

Estuve luchando con este problema durante una semana y la única respuesta que obtuve fue la siguiente: ¡no hay nada que evitar! Ahora me di cuenta de que en realidad no hay nada que pasar. Cuando se escanea, se completa un protocolo de enlace TCP, pero la aplicación detrás de ese puerto cerrará la conexión. Así que intente conectarse al puerto con nc:

nc -v <IP> <port>

Verás que puedes conectarte con el puerto.

Prueba esto:

nmap -sS -Pn -sV IPaddress 

Recuerde el -Pn , y la velocidad también es necesaria.