Иногда нужно просто следовать за кроликом в нору! Это было простое упражнение для демонстрации ответа об ошибке DNS-имени, которое привело к действительно интересному процессу отслеживания набора злонамеренных HTTP-Redirection в файле трассировки.
Вот сам файл, заберите его sec-getsplendid.pcapng и можем начать.
Как только страница открылась, я был в восторге! URL-адрес не имел ничего общего с введенным мной именем - я знал, что в этом файле трассировки должно быть перенаправление!
Вряд ли я знал, сколько изгибов и поворотов предпримет мой хост на своем пути к "великолепному" месту.
Перенаправления HTTP можно легко обнаружить в файле трассировки. Они состоят из кода ответа HTTP, начинающегося с 3. Список зарегистрированных кодов ответа HTTP можно найти по адресу https://www.iana.org/assignments/http-status-codes/http-status-codes.xhtml
Ниже приведен список кодов перенаправления 3xx.
Первое перенаправление показано ниже.
[См. Кадры 12, 14 и 15 в sec-getsplendid.pcapng .]
Вы можете быстро обнаружить перенаправления HTTP с помощью этого простого фильтра:
Вы можете скачать мой профиль здесь.
Нажмите кнопку «Capture File Properties» (нижний левый угол, рядом с кнопкой «Expert»), чтобы открыть окно «Capture File Properties». Прокрутите вниз, чтобы увидеть все мои примечания, как показано ниже.
Мой отчет можете скачать здесь.
Вот сам файл, заберите его sec-getsplendid.pcapng и можем начать.
Первоначальная цель
Я хотел запустить сеанс перехвата Wireshark, ввести какое-то безумное доменное имя в моем браузере и показать ошибку DNS-имени в файле трассировки. Но внезапно я увидел очень интересный веб-сайт. Это было не то, что я ожидал от этого кейса.
Как только страница открылась, я был в восторге! URL-адрес не имел ничего общего с введенным мной именем - я знал, что в этом файле трассировки должно быть перенаправление!
Вряд ли я знал, сколько изгибов и поворотов предпримет мой хост на своем пути к "великолепному" месту.
Обзор перенаправления HTTP
HTTP Redirect - не редкость. Они могут быть такими же простыми, как перенаправление с[something].com на www.[something].com. Редиректы не всегда злонамеренные, но на них стоит посмотреть.Перенаправления HTTP можно легко обнаружить в файле трассировки. Они состоят из кода ответа HTTP, начинающегося с 3. Список зарегистрированных кодов ответа HTTP можно найти по адресу https://www.iana.org/assignments/http-status-codes/http-status-codes.xhtml
Ниже приведен список кодов перенаправления 3xx.
В нашем файле трассировки вы увидите коды ответов 301 и 302 во время процесса злонамеренного перенаправления.
Первое перенаправление показано ниже.
[См. Кадры 12, 14 и 15 в sec-getsplendid.pcapng .]
Вы можете быстро обнаружить перенаправления HTTP с помощью этого простого фильтра:
Код:
http.response.code > 299 && http.response.code < 400Куда мы пошли?
Применяя фильтр, показанный выше, и добавляя столбец для поля местоположения HTTP, мы можем легко увидеть, как наш клиент попал наgetsplendidapps
Профиль перенаправления
Вы можете заметить, что мои пакеты перенаправления окрашены в ярко-синий цвет. Я создал профиль Wireshark для перенаправления HTTP. Мой профиль содержит множество столбцов и кнопку для обнаружения перенаправления HTTP.Вы можете скачать мой профиль здесь.
Примечания в изобилии!
Вот где я весело провел время с этим файлом трассировки. Я просматривал файл пакет за пакетом, чтобы аннотировать процессы перенаправления.Нажмите кнопку «Capture File Properties» (нижний левый угол, рядом с кнопкой «Expert»), чтобы открыть окно «Capture File Properties». Прокрутите вниз, чтобы увидеть все мои примечания, как показано ниже.
Создать отчет о перенаправлении
Вот как я составляю отчеты о результатах своего анализа. Я щелкаю правой кнопкой мыши по интересующим пакетам на панели списка пакетов и добавляю комментарии во время сеансов анализа. По завершении я щелкаю и перетаскиваю содержимое в окне «Свойства файла захвата», чтобы создать отчет о своих изысках.Мой отчет можете скачать здесь.