Hola,
Estoy analizando un pcap y he encontrado una serie de paquetes TCP (unos 150) que contienen unos campos en las cabeceras con unos caracteres y números que no soy capaz de entender. ¿Alguien sabe qué es?
El cliente manda unos "GET /? numero" al servidor Apache y el servidor no envía respuesta mas allá de los ACKs. Parece ser algún tipo de exploit.
Aquí hay un par de ejemplos:
GET /?234 HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14
Accept-language: en-US,en,q=0.5
meRFiuHRKK: 1011
lmXHXBKP: 1335
CvLgljhIm: 4929
wOPnLjldiMmuPI: 323
bkyqNBZVBZtY: 776
mKUfCLAjLpUims: 4914
VwiOOBWhoGnZg: 3418
HylDfOQSwHMve: 1966
GET /?587 HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:49.0) Gecko/20100101 Firefox/49.0
Accept-language: en-US,en,q=0.5
xshxoQjRo: 2368
blXlMwQOuaLIKvHA: 383
unFEBgIaOgTyjEv: 4268
PaPIFTpgADq: 1932
lPVecIHiaVBjqs: 108
SvYTWxAnPgM: 1162
HklrkTVq: 3438
VaUTHBzRkibu: 445
¿Cómo están codificados los caracteres?
He buscado durante horas en Google para ver qué significan, pero no puedo encontrar algo que me oriente.
Muchas gracias.
Estoy analizando un pcap y he encontrado una serie de paquetes TCP (unos 150) que contienen unos campos en las cabeceras con unos caracteres y números que no soy capaz de entender. ¿Alguien sabe qué es?
El cliente manda unos "GET /? numero" al servidor Apache y el servidor no envía respuesta mas allá de los ACKs. Parece ser algún tipo de exploit.
Aquí hay un par de ejemplos:
GET /?234 HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14
Accept-language: en-US,en,q=0.5
meRFiuHRKK: 1011
lmXHXBKP: 1335
CvLgljhIm: 4929
wOPnLjldiMmuPI: 323
bkyqNBZVBZtY: 776
mKUfCLAjLpUims: 4914
VwiOOBWhoGnZg: 3418
HylDfOQSwHMve: 1966
GET /?587 HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:49.0) Gecko/20100101 Firefox/49.0
Accept-language: en-US,en,q=0.5
xshxoQjRo: 2368
blXlMwQOuaLIKvHA: 383
unFEBgIaOgTyjEv: 4268
PaPIFTpgADq: 1932
lPVecIHiaVBjqs: 108
SvYTWxAnPgM: 1162
HklrkTVq: 3438
VaUTHBzRkibu: 445
¿Cómo están codificados los caracteres?
He buscado durante horas en Google para ver qué significan, pero no puedo encontrar algo que me oriente.
Muchas gracias.