webshell流量分析

哥斯拉：
cookie后面有分号（强特征）
哥斯拉在进行初始化时会产生一个较大的数据包（第一个），建立Session，第二三次请求确认连接，后续操作产生的数据包则相对较小。第三个包的返回数据是最大的
优先检查 Cookie 末尾是否带分号，结合 “Java 相关 User – Agent”“三阶段数据包大小规律”“响应体 MD5 + Base64 结构”，对于 PHP/ASP 流量，重点匹配 “godzilla” 特征字符串（包括编码后的形式）。
蚁剑：
每个请求体都有ini_set("display_errors")
重点检测请求体解码后是否包含 @ini_set("display_errors","0");@set_time_limit(0) 固定前缀，再结合 “AES 加密 + _0x 参数名”“响应体随机数包裹结构” 进行综合判断。
冰蝎3.0：
content-type固定为application/octet-stream（强特征）
冰蝎：关注 “动态 User – Agent + 长连接（connection:Keep – Alive）” 的组合，检测响应包是否采用 chunk 编码加密，同时结合固定长度心跳包、默认密钥（e45e329feb5d925b）的加密流量特征来识别。

参考：https://hilang.cloud/category/article/interview/
https://w1t2f3.github.io/