铁岭做网站包括哪些,网站维护托管公司,wordpress微博插件,网站建设导航栏变化中国菜刀、蚁剑、哥斯拉、冰蝎这四种Webshell连接工具的流量特征各有区别#xff0c;以下是它们之间的主要差异#xff1a;
中国菜刀#xff08;CaiDao#xff09;
流量特征#xff1a;
请求包#xff1a; UA头可能伪装为百度、火狐等浏览器的User-Agent。请求体中存在…
中国菜刀、蚁剑、哥斯拉、冰蝎这四种Webshell连接工具的流量特征各有区别以下是它们之间的主要差异
中国菜刀CaiDao
流量特征
请求包 UA头可能伪装为百度、火狐等浏览器的User-Agent。请求体中存在eavl、base64等特征字符。响应包 响应内容可能使用base64加密。 蚁剑AntSword
流量特征
请求包 每个请求体都以ini_set(display_errors,0);set_time_limit(0);开头。后续存在base64等字符。响应包 响应内容格式可能与菜刀类似包含随机数和编码后的结果。UA头可能包含蚁剑字样或可通过修改请求UA绕过。 哥斯拉Godzilla
流量特征具体流量特征可能因版本而异
请求包 Accept头可能包含多种MIME类型。响应包 Cache-Control头可能包含no-store, no-cache, must-revalidate。Cookie中可能存在特征字符。在cookie字段最后一个cookie的值可能出现分号。 冰蝎Behinder
流量特征
请求包 2.0版本 第一阶段请求中返回包状态码为200返回内容必定是16位的密钥。可能存在特定的Accept头。3.0版本 请求包中content-length可能为5740或5720根据Java版本变化。每个请求头中可能包含Pragma: no-cache和Cache-Control: no-cache。Accept头包含多种MIME类型。响应包 加密传输的数据包中包含特定的标记如flag0x52415631用于标识该数据包是冰蝎的控制命令。使用RC4加密算法对通信流量进行加密冰蝎4.0。通信流量看起来像正常的Web流量难以被检测。
归纳
加密方式蚁剑、冰蝎等工具普遍使用base64或其他加密技术对通信内容进行加密而冰蝎4.0则使用了RC4加密算法。请求头和响应头这些工具在请求和响应时可能包含特定的HTTP头如User-Agent、Accept、Content-Length等这些可以作为识别其流量的重要依据。特定标记和代码如冰蝎的数据包中包含的flag0x52415631标记蚁剑请求体开头的特定代码等都是这些工具流量特征的独特之处。伪装和绕过一些工具如蚁剑和冰蝎可以通过修改请求UA或其他方式来伪装自己从而绕过某些安全设备的检测。
