菜刀、冰蝎、蚁剑、哥斯拉Webshell流量特征

1. 冰蝎流量特征：Accept有自己专属的流量特征，查看content-Length长度。对上传参数base64进行解码，再代码末端再次解码。可看上传流量具体操作。再response也可查看揭秘参数后的流量

 

2. 哥斯拉流量特征：content-Length：数据包长度达万个

Cookie流量包后面存在分号；

 

 3. 菜刀流量特征分析：

 1. 菜刀伪造User-Agent为爬虫文件

2. 请求体中存在固定字符

 

 4. 蚁剑流量特征分析：

特征1:每个请求体都由以下数据开始@ini_set("display_errors",“0”);@set_time_limit(0);,
特征2：响应包，都是明文

特征3：content-Length：有uelencode字段