Intentando examinar la redirección de URL en Wireshark

Navega tus respuestas
0

Hice clic en un enlace (indistannews.com) y fui redirigido a un sitio web diferente (sexiniowa.com). [Advertencia: este último sitio es un sitio web de pornografía].

Observé la transacción en Wireshark para intentar ver cómo me redirigieron. Todo lo que veo es un protocolo de enlace TCP de 3 vías iniciado por mi cliente a la IP correcta original (50.63.202.1), y luego inmediatamente después de un NUEVO protocolo de enlace TCP a una IP totalmente diferente (63.163.163.134) que contiene la pornografía.

¿Por qué mi cliente eligió abandonar la conexión original e iniciar una nueva conexión a esta segunda IP? ¿Qué información en el primer protocolo de enlace de 3 vías (si existe) le pidió a mi cliente que hiciera esto?

-Nick

    
pregunta NickJones 15.07.2017 - 07:44
fuente

2 respuestas

1

Un protocolo de enlace TCP no contiene ninguna información de redireccionamiento. Si marca en su lugar en la capa de aplicación, verá: 

$ curl -v http://indistannews.com/
...
< HTTP/1.1 301 Moved Permanently
...
< Location: http://sexiniowa.info

Dado que se trata de una redirección 301 permanente , el cliente ni siquiera necesita volver a visitar el sitio original, sino que usará la nueva ubicación en intentos repetidos. Solo en el primer intento visitará el sitio original para recibir la redirección. Y esto es lo que podría mostrar tu captura de paquetes.

    
respondido por el Steffen Ullrich 15.07.2017 - 07:52
fuente
0

Es posible que desee probar a utilizar Burp Suite o Fiddler para interceptar el tráfico de la capa de aplicación, lo que le permitirá conocer mejor cómo se produce la redirección.

Debería verificar la secuencia de carga de URL, justo antes de que ocurra la redirección, que podría ser una URL afectada por el malware.

    
respondido por el Kaushal Bhavsar 16.07.2017 - 17:13
fuente

Lea otras preguntas en las etiquetas

Lynis indica compiladores ¿La API HMAC expuesta a través de un sitio público?