web-dev-qa-db-fra.com

Comment contourner tcpwrapped avec nmap scan

Je ferais une tâche de numérisation et j'ai fait face au résultat suivant

Host is up (0.032s latency).
Scanned at 2012-10-25 16:06:38 AST for 856s
PORT      STATE SERVICE    VERSION
1/tcp     open  tcpwrapped
3/tcp     open  tcpwrapped
4/tcp     open  tcpwrapped
.
.
19/tcp    open  tcpwrapped
20/tcp    open  tcpwrapped
21/tcp    open  tcpwrapped
22/tcp    open  tcpwrapped
23/tcp    open  tcpwrapped
.
.
64623/tcp open  tcpwrapped
64680/tcp open  tcpwrapped
65000/tcp open  tcpwrapped
65129/tcp open  tcpwrapped
65389/tcp open  tcpwrapped

La méthodologie de scan était

nmap -n -vv -A x.x.x.x --min-parallelism=50 --max-parallelism=150 -PN -T2 -oA x.x.x.x

Je suis sûr que c'est un jeu de pare-feu ou d'équilibreur de charge. J'ai essayé de nombreuses façons telles que changer le port source, l'IP source, la fragmentation, etc.

  • Avez-vous une idée/suggestion de contourner ce cas?
  • d'autre part, savez-vous comment faire cela sur la politique de pare-feu (sur n'importe quel pare-feu)? Merci
35
KING SABRI

"tcpwrapped" fait référence à tcpwrapper, un programme de contrôle d'accès réseau basé sur l'hôte sous Unix et Linux. Lorsque Nmap étiquette quelque chose tcpwrapped, cela signifie que le comportement du port est cohérent avec celui qui est protégé par tcpwrapper. Plus précisément, cela signifie qu'un TCP a été terminée, mais l'hôte distant a fermé la connexion sans recevoir de données.

Il est important de noter que tcpwrapper protège les programmes , pas les ports. Cela signifie qu'une réponse valide (non fausse positive) tcpwrapped indique qu'un véritable service réseau est disponible, mais que vous n'êtes pas sur la liste des hôtes autorisés à en parler. Lorsqu'un si grand nombre de ports sont représentés par tcpwrapped, il est peu probable qu'ils représentent de vrais services, donc le comportement signifie probablement autre chose.

Ce que vous voyez probablement, c'est un périphérique de sécurité réseau comme un pare-feu ou IPS. Beaucoup d'entre eux sont configurés pour répondre aux TCP analyses de port, même pour les adresses IP qui ne leur sont pas affectées. Ce comportement peut ralentir une analyse de port et assombrir les résultats avec des faux positifs.

EDIT: Étant donné que ce message a été signalé comme plagiat et supprimé, je voudrais souligner que la source supposée ( cette page sur SecWiki.org ) a également été écrite par moi. Cette réponse Security.StackExchange (31 octobre 2013) est antérieure à cette page (12 novembre 2013) de près de deux semaines.

116
bonsaiviking

Vous cherchez à cartographier les règles du pare-feu. Les outils de "Firewalking" pourraient aider à cela, mais je n'ai pas de grands espoirs.

  • Essayez de ralentir votre vitesse. Vous utilisez T2, ce qui est très rapide et vous pourriez obtenir des résultats étranges.
  • Essayez de ne pas utiliser -A, mais spécifiez directement le commutateur -sV
  • Essayez de rechercher des opportunités de `` port knocking ''
  • Essayez d'utiliser un artisan de paquets, comme scapy ou hping3, pour vraiment analyser le trafic que vous envoyez et essayer de déterminer ce qui peut passer.
9
schroeder

Vous pouvez essayer d'utiliser nmap -sV qui récupérera l'en-tête et les informations de version. Tous les ports TCP seront toujours ouverts (il n'y a évidemment rien que vous puissiez faire à ce sujet), mais vous pouvez tout de même chercher et trouver des bannières intéressantes et partir de là.

3
rook

J'ai eu du mal avec ce problème pendant une semaine et la seule réponse que j'ai obtenue était la suivante: il n'y a rien à contourner là-bas! Maintenant je me suis rendu compte que ça n'avait vraiment rien à contourner. Une TCP prise de contact est terminée lorsque vous scannez mais la connexion sera fermée par l'application derrière ce port. Essayez donc de vous connecter au port avec nc:

nc -v <IP> <port>

Vous verrez que vous pouvez vous connecter avec le port.

1
LD2

L'une des façons dont j'ai pu contourner un pare-feu Baracuda qui enveloppait TCP tous les ports et finissait la négociation à trois en leur nom était de numériser en utilisant un seul port tel que le plus célèbre TCP80, TCP443, UDP53 de la gamme, si le La plage d'adresses IP est grande. Je choisirais les premières pour les tester. Il existe quelques techniques sur le site nmap telles que la fragmentation, le leurre, le port inactif, etc., mais celles-ci ne donnent pas de bons résultats dans le cas de TCP encapsulation par un pare-feu ou IPS.

méthodes testées

nmap -PS80 TARGET 
nmap -PS443 TARGET 
nmap -PU53 TARGET 
nmap -PU161 TARGET 
nmap -PS3389 TARGET

le -PU161 a montré moins de ports ouverts que les autres méthodes.

Bien que cela ait été demandé il y a de nombreuses années, je vais laisser quelques conseils aux futurs testeurs nmap

-A is very noisy and will get caught by IDS and blocked by a firewall or an IPS
-sV same thing as it runs several scripts to know the services running
-O will also get flagged 

dans le pire des cas, si tout est noirci, faites-le manuellement, en recherchant les ports les plus courants un par un, -p80 sur un et -p443 sur un autre et ainsi de suite. Vous pouvez ralentir considérablement les choses en utilisant -T0 mais l'analyse prendra une éternité car elle sondera toutes les quelques minutes, 5 si je ne me trompe pas.

-vv is no problem
-n is also useful if you are not worried about DNS resolution

Je supprimerais également le min-parallélisme ou le baisserais à un nombre très faible.

1
nassim

https://www.enisa.europa.eu/activities/cert/support/chiht/tools/tcpd-tcpwrapper est un bon article rapide sur tcpwrapped. C'est probablement un pare-feu qui n'aime pas votre adresse IP, donc il vous suffit de supprimer votre connexion.

À moins que vous ne puissiez comprendre quelles adresses IP il aime ou qu'il vous fasse croire que vous êtes une IP LAN (je ne sais pas si c'est possible tbh), je ne pense pas que vous puissiez trouver ce que sont ces ports. Vous pouvez également essayer ncat pour vous connecter directement aux ports et voir s’ils répondent à des protocoles (créez quelques fichiers texte contenant des demandes "bonjour" typiques pour chaque proto, comme GET / HTTP/1.0 ou autre) puis ncat x.x.x.x port < httpget.txt

Veuillez vous assurer que vous êtes autorisé à accéder à ce réseau avant d'essayer.

0
mark