中国菜刀，蚁剑，哥斯拉，冰蝎的流量特征区别

中国菜刀、蚁剑、哥斯拉、冰蝎这四种Webshell连接工具的流量特征各有区别，以下是它们之间的主要差异：

中国菜刀（CaiDao）

流量特征：

• 请求包：
  • UA头可能伪装为百度、火狐等浏览器的User-Agent。
  • 请求体中存在eavl、base64等特征字符。
• 响应包：
  • 响应内容可能使用base64加密。

蚁剑（AntSword）

流量特征：

• 请求包：
  • 每个请求体都以@ini_set("display_errors","0");@set_time_limit(0);开头。
  • 后续存在base64等字符。
• 响应包：
  • 响应内容格式可能与菜刀类似，包含随机数和编码后的结果。
  • UA头可能包含蚁剑字样或可通过修改请求UA绕过。

哥斯拉（Godzilla）

流量特征（具体流量特征可能因版本而异）：

• 请求包：
  • Accept头可能包含多种MIME类型。
• 响应包：
  • Cache-Control头可能包含no-store, no-cache, must-revalidate。
  • Cookie中可能存在特征字符。
  • 在cookie字段，最后一个cookie的值可能出现分号。

冰蝎（Behinder）

流量特征：

• 请求包：
  • 2.0版本：
    • 第一阶段请求中返回包状态码为200，返回内容必定是16位的密钥。
    • 可能存在特定的Accept头。
  • 3.0版本：
    • 请求包中content-length可能为5740或5720（根据Java版本变化）。
    • 每个请求头中可能包含Pragma: no-cache和Cache-Control: no-cache。
    • Accept头包含多种MIME类型。
• 响应包：
  • 加密传输的数据包中包含特定的标记，如"flag=0x52415631"，用于标识该数据包是冰蝎的控制命令。
  • 使用RC4加密算法对通信流量进行加密（冰蝎4.0）。
  • 通信流量看起来像正常的Web流量，难以被检测。

归纳

• 加密方式：蚁剑、冰蝎等工具普遍使用base64或其他加密技术对通信内容进行加密，而冰蝎4.0则使用了RC4加密算法。
• 请求头和响应头：这些工具在请求和响应时可能包含特定的HTTP头，如User-Agent、Accept、Content-Length等，这些可以作为识别其流量的重要依据。
• 特定标记和代码：如冰蝎的数据包中包含的"flag=0x52415631"标记，蚁剑请求体开头的特定代码等，都是这些工具流量特征的独特之处。
• 伪装和绕过：一些工具如蚁剑和冰蝎，可以通过修改请求UA或其他方式来伪装自己，从而绕过某些安全设备的检测。