目录

一、常见Webshell工具流量特征

1. ​​中国菜刀（Chopper）​​

2. ​​冰蝎（Behinder）​​

3. ​​哥斯拉（Godzilla）​​

4. ​​蚁剑（AntSword）​​

5. ​​C99 Shell​​

6. ​​Weevely​​

7. ​​隐蔽通道（DNS/ICMP）​​

二、通用检测方法

1. ​​流量异常分析​​

2. ​​加密流量识别​​

3. ​​行为特征​​

三、防御策略

1. ​​技术层面​​

2. ​​管理层面​​

3. ​​应急响应​​

四、总结

---

一、常见Webshell工具流量特征

1. ​​中国菜刀（Chopper）​​

• ​​特征​​：
  • ​​参数固定​​：如 z0、z1、z2。
  • ​​Base64编码​​：参数值经过Base64编码。
  • ​​固定UA​​：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)。
• ​​检测规则​​：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Chopper Activity"; content:"z0="; http_client_body;)

2. ​​冰蝎（Behinder）​​

• ​​特征​​：
  • ​​AES加密​​：动态密钥加密，内容为二进制流。
  • ​​Content-Type​​：application/octet-stream。
  • ​​WebSocket协议​​：使用长连接通信。
• ​​检测规则​​：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Behinder Activity"; content:"application/octet-stream"; http_content_type;)

3. ​​哥斯拉（Godzilla）​​

• ​​特征​​：
  • ​​强加密​​：AES/RSA加密，密钥协商复杂。
  • ​​随机参数名​​：如 k=abc123，每次请求不同。
  • ​​分块传输​​：Transfer-Encoding: chunked。
• ​​检测规则​​：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Godzilla Activity"; content:"Transfer-Encoding: chunked"; http_header;)

4. ​​蚁剑（AntSword）​​

• ​​特征​​：
  • ​​UA标识​​：部分版本UA含 AntSword。
  • ​​插件编码​​：Base64或ROT13编码。
  • ​​路径特征​​：访问 /api/command。
• ​​检测规则​​：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"AntSword Activity"; content:"AntSword"; http_user_agent;)

5. ​​C99 Shell​​

• ​​特征​​：
  • ​​明文传输​​：参数如 pass=...&cmd=...。
  • ​​固定文件名​​：如 c99.php。
• ​​检测规则​​：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"C99 Activity"; content:"pass="; http_client_body;)

6. ​​Weevely​​

• ​​特征​​：
  • ​​参数名固定​​：如 weevely=...。
  • ​​简单加密​​：XOR或替换加密。
• ​​检测规则​​：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Weevely Activity"; content:"weevely="; http_client_body;)

7. ​​隐蔽通道（DNS/ICMP）​​

• ​​特征​​：
  • ​​DNS隧道​​：高频请求非常规域名（如 data.attacker.com）。
  • ​​ICMP载荷​​：异常ICMP包大小和频率。
• ​​检测规则​​：

  alert dns $HOME_NET any -> any any (msg:"DNS Tunnel"; dns_query; content:".attacker.com"; nocase;)

---

二、通用检测方法

1. ​​流量异常分析​​

• ​​高频请求​​：短时间内大量POST请求。
• ​​参数异常​​：超长参数名/值（如 >1KB）。
• ​​非常用端口​​：HTTP流量出现在8080、8443等端口。

2. ​​加密流量识别​​

• ​​固定长度数据包​​：加密Payload长度一致。
• ​​密钥协商请求​​：如 key=... 参数。

3. ​​行为特征​​

• ​​敏感操作​​：命令如 cmd=whoami、func=exec。
• ​​路径可疑​​：如 /uploads/shell.php。

---

三、防御策略

1. ​​技术层面​​

• ​​WAF规则​​：拦截含 z0=、application/octet-stream 的请求。
• ​​HTTPS解密​​：对内部流量进行中间人解密检查。
• ​​文件监控​​：禁止上传 .php、.jsp 等可执行文件。

2. ​​管理层面​​

• ​​访问控制​​：限制上传目录执行权限。
• ​​日志审计​​：分析异常UA、高频请求和敏感路径访问。
• ​​沙箱检测​​：自动扫描上传文件的恶意代码。

3. ​​应急响应​​

• ​​隔离主机​​：发现入侵后立即断网。
• ​​溯源分析​​：通过流量日志定位攻击入口。
• ​​漏洞修复​​：修补被利用的漏洞（如SQL注入、文件上传）。

---

四、总结

Webshell流量特征因工具而异，但通常包含加密、固定参数或异常协议等行为。通过结合特征检测和行为分析，可有效识别攻击。防御需多层联动，从流量监控到文件管理，形成完整防护体系。

​​防御核心​​：早发现、早阻断、早溯源。