Cercando di esaminare il reindirizzamento URL in Wireshark

0

Ho cliccato su un link (indistannews.com) ed è stato reindirizzato su un altro sito web (sexiniowa.com). [Attenzione: il secondo sito è un sito web di pornografia].

Ho esaminato la transazione in Wireshark per provare a vedere come sono stato reindirizzato. Tutto quello che vedo è un handshake TCP a 3 vie avviato dal mio client sull'IP originale originale (50.63.202.1), e subito dopo un nuovo handshake TCP su un IP completamente diverso (63.163.163.134) che contiene la pornografia.

Perché il mio cliente ha scelto di abbandonare la connessione originale e iniziare una nuova connessione con questo secondo IP? Quali informazioni nel primo handshake a 3 vie (se presente) hanno spinto il mio cliente a fare questo?

-Nick

    
posta NickJones 15.07.2017 - 07:44
fonte

2 risposte

1

Un handshake TCP non contiene alcuna informazione di reindirizzamento. Se controlli invece sul livello applicazione vedi:

$ curl -v http://indistannews.com/
...
< HTTP/1.1 301 Moved Permanently
...
< Location: http://sexiniowa.info

Poiché si tratta di un reindirizzamento 301 permanente , il client non ha nemmeno bisogno di visitare nuovamente il sito originale, ma utilizzerà la nuova posizione su tentativi ripetuti. Solo al primo tentativo visiterà il sito originale per ricevere il reindirizzamento. E questo è ciò che potrebbe essere mostrato dall'acquisizione dei pacchetti.

    
risposta data 15.07.2017 - 07:52
fonte
0

Potresti provare a utilizzare Burp Suite o Fiddler per intercettare il traffico del livello dell'applicazione, che ti darà una visione migliore di come avviene il reindirizzamento.

Dovresti controllare la sequenza di caricamento dell'URL, proprio prima che si verifichi il reindirizzamento, che potrebbe essere un URL dannoso per il malware.

    
risposta data 16.07.2017 - 17:13
fonte

Leggi altre domande sui tag