蚁剑、菜刀、哥斯拉、冰蝎流量特征
哥斯拉的流量特征是什么?
最后一个cookie值有个“;”分号
请求体特征:进行base64加密或者是raw加密
响应体特征:同样进行base64 raw加密,会把32位的md5字符串按照一半拆分:md5前16位+base64+md5后16位
蚁剑的流量特征是什么?
PHP用base64加密
默认的user-agent请求头是antsword xxx(可修改)
蚁剑的正文内容用URL加密,解密后流量最明显的特征为ini_set("display_errors","0")
以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。
菜刀流量特征
最开始明文传输,后来采用base64加密
“eval”,eval函数用于执行传递的攻击payload
(base64_decode($_POST[z0])),将攻击payload进行base64解密,因为菜刀默认使用的是base64编码,以避免被检测
&z0=QGluaV9..这部分传递的是攻击payload一般也是固定的
冰蝎的流量特征
AES对称加密
数据包有大量的content-type:application
冰蝎3.0默认内置16个ua头
content-length请求长度,对于上传文件,命令执行来讲,加密的参数不定长,但是对于密钥交互,获取基本信息来说payload都为定长
蚁剑/菜刀/C 刀/冰蝎的相同与不相同之处
相同:都是用来连接 Web Shell 的工具
不同:相比于其他三款,冰蝎有流量动态加密
cs流量特征? 50050端口,心跳包
C/S(Client/Server,客户端/服务器)流量是指基于客户端和服务器之间的通信产生的网络流量。C/S 流量特征包括以下几个方面:
- 会话建立:C/S 流量通常都需要进行会话建立,包括握手、协议版本交换、密钥协商等过程。在这个过程中,通常可以看到一些特定的协议字段和标志位。
- 数据传输:传输数据是 C/S 流量的主要特征之一。在这个过程中,通常可以看到明文或加密的数据传输,并且数据大小和传输速度也是分析流量的重要指标。
- 响应时间:C/S 流量通常包含请求和响应消息,因此可以通过分析请求和响应之间的时间差来判断系统性能和服务质量。
- 协议类型:C/S 流量涉及多种不同的协议类型,例如 HTTP、FTP、SMTP、POP3 等,每种协议的特点和流量特征也有所不同。
- 应用程序特点:C/S 流量还表现出应用程序的特点,例如应用程序的请求方式、请求频率、用户行为等等,这些特点对于分析和识别流量非常有帮助。