Paquetes do contiene información sobre la fuente del paquete: el campo de dirección de origen IP contiene la dirección IP de la fuente del paquete. Las direcciones IP de origen pueden ser falsificadas, pero para las conexiones TCP a través de una red cableada, este tipo de falsificación generalmente es más difícil de lo que la mayoría de los atacantes pueden realizar. Por lo tanto, esta dirección IP generalmente es razonablemente confiable como la fuente del paquete, para las conexiones TCP a través de redes cableadas.
Tracert no parece tener ninguna relevancia obvia aquí. Si obtiene la misma ruta a varios hosts diferentes, tal vez esos hosts estén todos alojados en la misma red local. (Otra posibilidad es que haya sido infectado con el malware de secuestro de DNS, que redirige todas las búsquedas de DNS para señalarle a un host proxy malicioso. Haga una comprobación rápida y sucia al hacer algunas búsquedas de DNS en su sistema y en otra totalmente independiente. sistema y viendo si obtiene la misma respuesta.)
Parece que la pregunta real es que desea visitar la página web usted mismo en su navegador y está preguntando cómo hacerlo, dado un rastreo de paquetes. En primer lugar, ten mucho cuidado con esto: podrías terminar fácilmente comprometido. Ejecute su navegador en una máquina virtual desechable y deseche la máquina virtual una vez que haya terminado su investigación.
Para visitar la página web, querrá abrir la captura de paquetes en alguna herramienta de análisis de paquetes (p. ej., Wireshark), buscar la solicitud HTTP, mirar la dirección IP de destino donde se envió esa solicitud HTTP y reproducir la solicitud a ese host y puerto. Tenga en cuenta que es posible que deba enviar la solicitud exacta tal como está: puede que necesite el encabezado Host: , si el sitio es el hospedaje virtual habitual, y puede que otros encabezados estén en lo cierto, si el sitio de hospedaje de malware está usando referencias. u otros encabezados para determinar cómo responder a la solicitud.
Puede intentar extraer la URL de la solicitud (el nombre de host generalmente se puede extraer del encabezado Host: , la ruta de la URL se puede extraer de la línea GET de la solicitud HTTP) y luego abrir esa URL en su navegador ( en una máquina virtual desechable, por favor). Como una comprobación rápida y sucia, esto podría ser suficiente.
Si tiene una captura de paquetes, puede haber una forma aún más fácil. Si abre la captura de paquetes en Wireshark, Wireshark decodificará toda la conexión TCP, volverá a ensamblar todo el tráfico y le mostrará los bytes enviados en ambas direcciones. Puede usar esto para ver la fuente HTML enviada a sus máquinas.
Dicho esto, me preguntaría si algo de esto es un buen uso de su tiempo. No estoy seguro de lo que esperas aprender. Por lo general, tratar de rastrear a través del código HTML / Javascript de un exploit web es una pérdida de tiempo. Puede que tenga que revisar docenas de redirecciones y otros pasos, luego desenfocar el código y mirar las páginas de código para tener una idea de lo que está haciendo. Y una vez que has hecho eso, ¿qué has ganado? Básicamente, nada más. Por lo general, es mejor dejar este análisis a las compañías de seguridad / IDS, y enfocar sus energías en las cosas que realmente lo protegerán: por ejemplo, enfóquese en garantizar que sus máquinas finales ejecuten navegadores actualizados y otros programas.