Durante un tiempo me he preguntado como se bloquean las página que comparten ficheros que incumplen con alguna norma legislativa. En este caso se trata de mejortorrent una web que contenía enlaces de ficheros torrent que permitían la descarga ilegal de software y películas. Normalmente el bloqueo a las páginas WEBs se suele hacer a nivel de DNS, pero en este caso veremos un caso diferente ya que seguramente el servidor ha sido intervenido. A continuación, analizaremos el flujo de conexión del equipo con la dirección IP 192.168.18.141 al sitio web mejortorrent.com y cómo finalmente es redirigido a a.policia.es. Este análisis se basa en este archivo mejortorrent.pcap y a continuación se detalla cada paso del proceso.
1. Resolución de DNS
El proceso comienza con la resolución de DNS para obtener la dirección IP de mejortorrent.com.
- Paquete 1 y 2: El cliente (192.168.18.141) envía consultas DNS al servidor DNS (212.166.210.80) para resolver tanto la dirección IPv4 (tipo A) como la dirección IPv6 (tipo AAAA) de
mejortorrent.com. - Paquete 3 y 4: El servidor DNS responde que no hay una dirección IPv6 disponible, pero proporciona la dirección IPv4
69.16.230.165.
2. Establecimiento de la Conexión TCP
Una vez obtenida la dirección IP, el cliente inicia una conexión TCP con el servidor.
- Paquete 5: El cliente envía un paquete SYN al servidor
mejortorrent.comen el puerto 443 (HTTPS). - Paquete 7: El servidor responde con un paquete SYN-ACK.
- Paquete 8: El cliente confirma la conexión con un paquete ACK.
3. Negociación TLS
Con la conexión TCP establecida, el cliente y el servidor inician la negociación TLS para asegurar la comunicación.
- Paquete 9: El cliente envía un mensaje "Client Hello" para iniciar la negociación TLS.
- Paquete 11 y 12: El servidor responde con "Server Hello", "Certificate", "Server Key Exchange" y "Server Hello Done".
- Paquete 17: El cliente envía "Client Key Exchange", "Change Cipher Spec" y "Encrypted Handshake Message".
- Paquete 21: El servidor envía "Change Cipher Spec" y "Encrypted Handshake Message".
4. Transferencia de Datos
Una vez completada la negociación TLS, el cliente realiza una solicitud HTTP y el servidor responde.
- Paquete 47: El cliente envía una solicitud HTTP GET para la página principal (
/) demejortorrent.com. - Paquete 49: El servidor responde con un estado
200 OKy una redirección HTML que apunta ahttp://a.policia.es/.
5. Redirección a a.policia.es
La respuesta del servidor incluye una redirección automática a a.policia.es.
- Contenido del Paquete 49:
<html><head><meta http-equiv="refresh" content="0; url=http://a.policia.es/"></head><body></body></html>
6. Resolución de DNS para a.policia.es
El cliente intenta resolver la dirección IP de a.policia.es.
- Paquete 52 y 53: El cliente envía consultas DNS para resolver tanto la dirección IPv4 como la dirección IPv6 de
a.policia.es. - Paquete 54 y 55: El servidor DNS responde que no existe un registro para
a.policia.es.
7. Intentos Repetidos de Resolución de DNS
El cliente realiza varios intentos adicionales para resolver a.policia.es, pero todos resultan en respuestas negativas del servidor DNS.
- Paquetes 58 a 75: El cliente repite las consultas DNS para
a.policia.esya.policia.es.localdomain, pero no obtiene una dirección válida.
Conclusión
Este análisis muestra cómo el equipo 192.168.18.141 intenta acceder a mejortorrent.com, establece una conexión segura y recibe una redirección a a.policia.es. Sin embargo, debido a la falta de registros DNS válidos para a.policia.es, el cliente no puede completar la redirección.
Este flujo de paquetes ilustra la importancia de la resolución DNS en la navegación web y cómo las redirecciones pueden afectar la experiencia del usuario.
Espero que este análisis sea útil para entender el proceso de conexión y redirección en detalle.
No hay comentarios:
Publicar un comentario