中國菜刀、蟻劍、哥斯拉、冰蝎這四種Webshell連接工具的流量特征各有區(qū)別，以下是它們之間的主要差異：

中國菜刀（CaiDao）

流量特征：

• 請求包：
  • UA頭可能偽裝為百度、火狐等瀏覽器的User-Agent。
  • 請求體中存在eavl、base64等特征字符。
• 響應(yīng)包：
  • 響應(yīng)內(nèi)容可能使用base64加密。

蟻劍（AntSword）

流量特征：

• 請求包：
  • 每個請求體都以@ini_set("display_errors","0");@set_time_limit(0);開頭。
  • 后續(xù)存在base64等字符。
• 響應(yīng)包：
  • 響應(yīng)內(nèi)容格式可能與菜刀類似，包含隨機數(shù)和編碼后的結(jié)果。
  • UA頭可能包含蟻劍字樣或可通過修改請求UA繞過。

哥斯拉（Godzilla）

流量特征（具體流量特征可能因版本而異）：

• 請求包：
  • Accept頭可能包含多種MIME類型。
• 響應(yīng)包：
  • Cache-Control頭可能包含no-store, no-cache, must-revalidate。
  • Cookie中可能存在特征字符。
  • 在cookie字段，最后一個cookie的值可能出現(xiàn)分號。

冰蝎（Behinder）

流量特征：

• 請求包：
  • 2.0版本：
    • 第一階段請求中返回包狀態(tài)碼為200，返回內(nèi)容必定是16位的密鑰。
    • 可能存在特定的Accept頭。
  • 3.0版本：
    • 請求包中content-length可能為5740或5720（根據(jù)Java版本變化）。
    • 每個請求頭中可能包含Pragma: no-cache和Cache-Control: no-cache。
    • Accept頭包含多種MIME類型。
• 響應(yīng)包：
  • 加密傳輸?shù)臄?shù)據(jù)包中包含特定的標記，如"flag=0x52415631"，用于標識該數(shù)據(jù)包是冰蝎的控制命令。
  • 使用RC4加密算法對通信流量進行加密（冰蝎4.0）。
  • 通信流量看起來像正常的Web流量，難以被檢測。

歸納

• 加密方式：蟻劍、冰蝎等工具普遍使用base64或其他加密技術(shù)對通信內(nèi)容進行加密，而冰蝎4.0則使用了RC4加密算法。
• 請求頭和響應(yīng)頭：這些工具在請求和響應(yīng)時可能包含特定的HTTP頭，如User-Agent、Accept、Content-Length等，這些可以作為識別其流量的重要依據(jù)。
• 特定標記和代碼：如冰蝎的數(shù)據(jù)包中包含的"flag=0x52415631"標記，蟻劍請求體開頭的特定代碼等，都是這些工具流量特征的獨特之處。
• 偽裝和繞過：一些工具如蟻劍和冰蝎，可以通過修改請求UA或其他方式來偽裝自己，從而繞過某些安全設(shè)備的檢測。