Je ferais une tâche de numérisation et j'ai fait face au résultat suivant
Host is up (0.032s latency).
Scanned at 2012-10-25 16:06:38 AST for 856s
PORT STATE SERVICE VERSION
1/tcp open tcpwrapped
3/tcp open tcpwrapped
4/tcp open tcpwrapped
.
.
19/tcp open tcpwrapped
20/tcp open tcpwrapped
21/tcp open tcpwrapped
22/tcp open tcpwrapped
23/tcp open tcpwrapped
.
.
64623/tcp open tcpwrapped
64680/tcp open tcpwrapped
65000/tcp open tcpwrapped
65129/tcp open tcpwrapped
65389/tcp open tcpwrapped
La méthodologie de scan était
nmap -n -vv -A x.x.x.x --min-parallelism=50 --max-parallelism=150 -PN -T2 -oA x.x.x.x
Je suis sûr que c'est un jeu de pare-feu ou d'équilibreur de charge. J'ai essayé de nombreuses façons telles que changer le port source, l'IP source, la fragmentation, etc.
"tcpwrapped
" fait référence à tcpwrapper
, un programme de contrôle d'accès réseau basé sur l'hôte sous Unix et Linux. Lorsque Nmap étiquette quelque chose tcpwrapped
, cela signifie que le comportement du port est cohérent avec celui qui est protégé par tcpwrapper. Plus précisément, cela signifie qu'un TCP a été terminée, mais l'hôte distant a fermé la connexion sans recevoir de données.
Il est important de noter que tcpwrapper protège les programmes , pas les ports. Cela signifie qu'une réponse valide (non fausse positive) tcpwrapped
indique qu'un véritable service réseau est disponible, mais que vous n'êtes pas sur la liste des hôtes autorisés à en parler. Lorsqu'un si grand nombre de ports sont représentés par tcpwrapped
, il est peu probable qu'ils représentent de vrais services, donc le comportement signifie probablement autre chose.
Ce que vous voyez probablement, c'est un périphérique de sécurité réseau comme un pare-feu ou IPS. Beaucoup d'entre eux sont configurés pour répondre aux TCP analyses de port, même pour les adresses IP qui ne leur sont pas affectées. Ce comportement peut ralentir une analyse de port et assombrir les résultats avec des faux positifs.
EDIT: Étant donné que ce message a été signalé comme plagiat et supprimé, je voudrais souligner que la source supposée ( cette page sur SecWiki.org ) a également été écrite par moi. Cette réponse Security.StackExchange (31 octobre 2013) est antérieure à cette page (12 novembre 2013) de près de deux semaines.
Vous cherchez à cartographier les règles du pare-feu. Les outils de "Firewalking" pourraient aider à cela, mais je n'ai pas de grands espoirs.
Vous pouvez essayer d'utiliser nmap -sV
qui récupérera l'en-tête et les informations de version. Tous les ports TCP seront toujours ouverts (il n'y a évidemment rien que vous puissiez faire à ce sujet), mais vous pouvez tout de même chercher et trouver des bannières intéressantes et partir de là.
J'ai eu du mal avec ce problème pendant une semaine et la seule réponse que j'ai obtenue était la suivante: il n'y a rien à contourner là-bas! Maintenant je me suis rendu compte que ça n'avait vraiment rien à contourner. Une TCP prise de contact est terminée lorsque vous scannez mais la connexion sera fermée par l'application derrière ce port. Essayez donc de vous connecter au port avec nc:
nc -v <IP> <port>
Vous verrez que vous pouvez vous connecter avec le port.
L'une des façons dont j'ai pu contourner un pare-feu Baracuda qui enveloppait TCP tous les ports et finissait la négociation à trois en leur nom était de numériser en utilisant un seul port tel que le plus célèbre TCP80, TCP443, UDP53 de la gamme, si le La plage d'adresses IP est grande. Je choisirais les premières pour les tester. Il existe quelques techniques sur le site nmap telles que la fragmentation, le leurre, le port inactif, etc., mais celles-ci ne donnent pas de bons résultats dans le cas de TCP encapsulation par un pare-feu ou IPS.
méthodes testées
nmap -PS80 TARGET
nmap -PS443 TARGET
nmap -PU53 TARGET
nmap -PU161 TARGET
nmap -PS3389 TARGET
le -PU161 a montré moins de ports ouverts que les autres méthodes.
Bien que cela ait été demandé il y a de nombreuses années, je vais laisser quelques conseils aux futurs testeurs nmap
-A is very noisy and will get caught by IDS and blocked by a firewall or an IPS
-sV same thing as it runs several scripts to know the services running
-O will also get flagged
dans le pire des cas, si tout est noirci, faites-le manuellement, en recherchant les ports les plus courants un par un, -p80 sur un et -p443 sur un autre et ainsi de suite. Vous pouvez ralentir considérablement les choses en utilisant -T0 mais l'analyse prendra une éternité car elle sondera toutes les quelques minutes, 5 si je ne me trompe pas.
-vv is no problem
-n is also useful if you are not worried about DNS resolution
Je supprimerais également le min-parallélisme ou le baisserais à un nombre très faible.
https://www.enisa.europa.eu/activities/cert/support/chiht/tools/tcpd-tcpwrapper est un bon article rapide sur tcpwrapped. C'est probablement un pare-feu qui n'aime pas votre adresse IP, donc il vous suffit de supprimer votre connexion.
À moins que vous ne puissiez comprendre quelles adresses IP il aime ou qu'il vous fasse croire que vous êtes une IP LAN (je ne sais pas si c'est possible tbh), je ne pense pas que vous puissiez trouver ce que sont ces ports. Vous pouvez également essayer ncat pour vous connecter directement aux ports et voir s’ils répondent à des protocoles (créez quelques fichiers texte contenant des demandes "bonjour" typiques pour chaque proto, comme GET / HTTP/1.0
ou autre) puis ncat x.x.x.x port < httpget.txt
Veuillez vous assurer que vous êtes autorisé à accéder à ce réseau avant d'essayer.