蚁剑、冰蝎、哥斯拉流量特征

蚁剑流量特征：使用base64加密

1.User-Agent请求头‌：蚁剑的默认User-Agent请求头是"antsword xxx"，但这个值可以被修改

2.流量包开头123（链接密码）=@ini_set("display_errors","0")

3.参数大多以0X...= 这种形式开头

4.eval函数‌：蚁剑流量中常包含eval函数，这是执行攻击payload的必要步骤

5.加密方式‌：蚁剑使用AES加密算法对数据进行加密，并且使用了自定义的二进制协议进行通信。

6.base64编码‌：蚁剑流量中常使用Base64编码来传输数据，以避免被检测

冰蝎流量特征：使用AES对称加密

1.流量包中包含大量的content-type：application

2.‌UserAgent字段‌：冰蝎内置了多种UserAgent，每次连接shell时会随机选择一个进行使用。例如，冰蝎2.0版本内置了17种UserAgent，而冰蝎3.0版本则内置了14种。

3.‌长连接和Content-Length‌：冰蝎通讯默认使用长连接，避免了频繁的握手造成的资源开销。默认情况下，请求头和响应头里会带有Connection: Keep-Alive和Content-Length: 16，这是冰蝎连接的特征。

‌4.密钥传递的URL参数‌：在密钥传递时，URI只有一个key-value型参数，Key是黑客给shell设置的密码，一般为10位以下字母和数字；Value一般是2至3位随机纯数字。加密所用密钥是长度为16的随机字符串，由小写字母和数字组成，密钥传递阶段存在于Response Body中。

5.‌Accept字段头部特征‌：冰蝎2.0和3.0版本的Accept头部特征分别为application/xhtml+xml、application/xml和application/signed-exchange。

哥斯拉流量特征：使用base64加密

1.POST请求中的参数默认密码为pass

‌2.User-Agent特征‌：哥斯拉客户端默认使用Java语言编写，如果不修改User-Agent，通常会显示类似于Java/1.8.0_121的字符串（具体版本取决于JDK环境版本）。哥斯拉支持自定义HTTP头部，因此这一特征可以通过自定义设置去除。

3.‌Accept头部特征‌：默认的Accept头部为text/html, image/gif, image/jpeg, *; q=.2, /; q=.2，这一特征同样可以通过自定义头部去除。

4.Cookie特征‌：哥斯拉请求包的Cookie中有一个致命的特征，即末尾带有分号;，标准的HTTP请求中最后一个Cookie的值不应该包含分号，这一特征可以作为辅助识别哥斯拉流量的重要标志。

5.‌请求体特征‌：哥斯拉支持对加密的数据进行Base64编码和原始加密（raw）两种形式的通信数据。哥斯拉在进行初始化时会产生一个比较大的数据包，后续命令执行等操作时产生的Base64数据包会相对较小。通过数据包长度进行匹配可以在一定程度上降低误报率。

6.‌响应体特征‌：如果请求体采用Base64编码，响应体返回的也是Base64编码的数据。响应体的特征为一个32位的MD5字符串按照一半拆分，分别放在Base64编码的数据的前后两部分。整个响应包的结构为md5前十六位+Base64+md5后十六位。 ‌

7.ICMP协议特征‌：哥斯拉使用的是ICMP协议数据报文，ICMP数据报文的载荷部分Length值固定为92字节，这是其重要特征。