El tarball incluye una biblioteca llamada libwrap que implementa la funcionalidad en sí.
Inicialmente, solo aquellos servicios que se creaban a partir de cada conexión a un super Servidor (como inetd) eran envueltos (de ahí su nombre) utilizando el programa 'tcpd'.
Los demonios que operan sin crear descendientes de un super servidor usan esto, o un proceso único que maneja conexiones múltiples.
En caso contrario, solo el primer intento de conexión se chequearía contra sus ACLs.
Esto facilita su uso en scripts anti-gusano, tales como DenyHosts o Fail2ban, para agregar y sacar reglas de bloqueo a clientes, cuando estos producen excesivos intentos de conexión o varios errores en el proceso mismo.