流量特征

• 中国菜刀流量分析
  中国菜刀：使用TCP协议与C&C服务器通信。
  流量特征
  1、请求包中：ua头为百度。火狐
  2、请求体中存在eavl、base64等特征字符。
  3、请求体中传递的payload为base64编码，并且存在固定的
  4、连接服务器的IP地址往往采用动态DNS转换。较难通过IP直接检测
  5、连接端口不固定，需要扫描检测。一般扫描20000-30000端口范围可以检测菜刀活动
  6、连接建立后发送“knife”或“dadan”等验证码进行验证，可以通过检测这些关键词实现检测
  7、&z0=QGluaVzZXQ...,该部分是传递攻击payload，此参数z0对应$_POST[z0]接收到的数据，该参数值是使用Base64编码的。
  8、存在cmd=这个格式。当连接到命令行时，执行whoami命令后，会响应响应包中返回明文信息。
• 蚁剑流量分析
  流量特征
  1、每个请求体都存在@ini_set("dispaly_errors","0");@set_time_limit(0)开头。后面存在base64等字符
  2、响应包的结果返回格式为：随机数——响应内容——随机数
  3、连接服务器IP地址也常采用动态DNS，通过IP地址检测难度大
  4、连接端口常使用443或8080等常用端口，稍难检测
  5、连接时发送字符串"yyoa"进行验证，特征标识。
  6、_0x=...形式（下划线可替代为其他）
• 冰蝎流量分析
  流量特征（AES对称加密）
  使用UDP端口通常为53、123、161、162等，这些端口较难引起注意。数据包长度一般在120-140字节左右，可以作为判断标准。数据包的内容以0x01开头，以0x00结尾，中间含有蝎子协议特征数据。
  3.0采用二进制协议进行通信，使用DES加密算法
  4.0采用HTTP协议进行通信，使用RC4加密算法。
  3.0版本及4.0版本：流量特征中请求的开头都是yc8MNtAHgYXhSjykK5u2E
• 哥斯拉流量分析
  流量特征
  1、使用的全是ICMP协议数据报文，ICMP数据报文的载荷部分Length值固定为92字节。
  2、UA弱特征：所有请求中cookie中后面都存在特征"；"。
  3、开头16位MD5结尾16位MD5，中间base64。