后门连接工具介绍

中国菜刀（CaiDao）
流量特征：
请求包：
1. UA头可能伪装为百度、火狐等浏览器的User-Agent。
2. 请求体中存在eavl、base64等特征字符。
响应包：
响应内容可能使用base64加密。
蚁剑（AntSword）
流量特征：
请求包：
1. 每个请求体都以@ini_set(“display_errors”,”0”);@set_time_limit(0);开头。
2. 后续存在base64等字符。
响应包：
1. 响应内容格式可能与菜刀类似，包含随机数和编码后的结果。
2. UA头可能包含蚁剑字样或可通过修改请求UA绕过。
哥斯拉（Godzilla）
流量特征（具体流量特征可能因版本而异）：
请求包：
Accept头可能包含多种MIME类型。
响应包：
1. Cache-Control头可能包含no-store, no-cache, must-revalidate。
2. Cookie中可能存在特征字符。
3. 在cookie字段，最后一个cookie的值可能出现分号。
冰蝎（Behinder）
流量特征：
请求包：
2.0版本：
1. 第一阶段请求中返回包状态码为200，返回内容必定是16位的密钥。
2. 可能存在特定的Accept头。
3.0版本：
1. 请求包中content-length可能为5740或5720（根据Java版本变化）。
2. 每个请求头中可能包含Pragma: no-cache和Cache-Control: no-cache。
3. Accept头包含多种MIME类型。
响应包：
1. 加密传输的数据包中包含特定的标记，如”flag=0x52415631”，用于标识该数据包是冰蝎的控制命令。
2. 使用RC4加密算法对通信流量进行加密（冰蝎4.0）。
3. 通信流量看起来像正常的Web流量，难以被检测。
归纳
1. 加密方式：蚁剑、冰蝎等工具普遍使用base64或其他加密技术对通信内容进行加密，而冰蝎4.0则使用了RC4加密算法。
2. 请求头和响应头：这些工具在请求和响应时可能包含特定的HTTP头，如User-Agent、Accept、Content-Length等，这些可以作为识别其流量的重要依据。
3. 特定标记和代码：如冰蝎的数据包中包含的”flag=0x52415631”标记，蚁剑请求体开头的特定代码等，都是这些工具流量特征的独特之处。
4. 伪装和绕过：一些工具如蚁剑和冰蝎，可以通过修改请求UA或其他方式来伪装自己，从而绕过某些安全设备的检测。