目錄

一、常見Webshell工具流量特征

1. ??中國菜刀（Chopper）??

2. ??冰蝎（Behinder）??

3. ??哥斯拉（Godzilla）??

4. ??蟻劍（AntSword）??

5. ??C99 Shell??

6. ??Weevely??

7. ??隱蔽通道（DNS/ICMP）??

二、通用檢測方法

1. ??流量異常分析??

2. ??加密流量識別??

3. ??行為特征??

三、防御策略

1. ??技術層面??

2. ??管理層面??

3. ??應急響應??

四、總結

---

一、常見Webshell工具流量特征

1. ??中國菜刀（Chopper）??

• ??特征??：
  • ??參數固定??：如?z0、z1、z2。
  • ??Base64編碼??：參數值經過Base64編碼。
  • ??固定UA??：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)。
• ??檢測規則??：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Chopper Activity"; content:"z0="; http_client_body;)

2. ??冰蝎（Behinder）??

• ??特征??：
  • ??AES加密??：動態密鑰加密，內容為二進制流。
  • ??Content-Type??：application/octet-stream。
  • ??WebSocket協議??：使用長連接通信。
• ??檢測規則??：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Behinder Activity"; content:"application/octet-stream"; http_content_type;)

3. ??哥斯拉（Godzilla）??

• ??特征??：
  • ??強加密??：AES/RSA加密，密鑰協商復雜。
  • ??隨機參數名??：如?k=abc123，每次請求不同。
  • ??分塊傳輸??：Transfer-Encoding: chunked。
• ??檢測規則??：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Godzilla Activity"; content:"Transfer-Encoding: chunked"; http_header;)

4. ??蟻劍（AntSword）??

• ??特征??：
  • ??UA標識??：部分版本UA含?AntSword。
  • ??插件編碼??：Base64或ROT13編碼。
  • ??路徑特征??：訪問?/api/command。
• ??檢測規則??：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"AntSword Activity"; content:"AntSword"; http_user_agent;)

5. ??C99 Shell??

• ??特征??：
  • ??明文傳輸??：參數如?pass=...&cmd=...。
  • ??固定文件名??：如?c99.php。
• ??檢測規則??：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"C99 Activity"; content:"pass="; http_client_body;)

6. ??Weevely??

• ??特征??：
  • ??參數名固定??：如?weevely=...。
  • ??簡單加密??：XOR或替換加密。
• ??檢測規則??：

  alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Weevely Activity"; content:"weevely="; http_client_body;)

7. ??隱蔽通道（DNS/ICMP）??

• ??特征??：
  • ??DNS隧道??：高頻請求非常規域名（如?data.attacker.com）。
  • ??ICMP載荷??：異常ICMP包大小和頻率。
• ??檢測規則??：

  alert dns $HOME_NET any -> any any (msg:"DNS Tunnel"; dns_query; content:".attacker.com"; nocase;)

---

二、通用檢測方法

1. ??流量異常分析??

• ??高頻請求??：短時間內大量POST請求。
• ??參數異常??：超長參數名/值（如 >1KB）。
• ??非常用端口??：HTTP流量出現在8080、8443等端口。

2. ??加密流量識別??

• ??固定長度數據包??：加密Payload長度一致。
• ??密鑰協商請求??：如?key=...?參數。

3. ??行為特征??

• ??敏感操作??：命令如?cmd=whoami、func=exec。
• ??路徑可疑??：如?/uploads/shell.php。

---

三、防御策略

1. ??技術層面??

• ??WAF規則??：攔截含?z0=、application/octet-stream?的請求。
• ??HTTPS解密??：對內部流量進行中間人解密檢查。
• ??文件監控??：禁止上傳?.php、.jsp?等可執行文件。

2. ??管理層面??

• ??訪問控制??：限制上傳目錄執行權限。
• ??日志審計??：分析異常UA、高頻請求和敏感路徑訪問。
• ??沙箱檢測??：自動掃描上傳文件的惡意代碼。

3. ??應急響應??

• ??隔離主機??：發現入侵后立即斷網。
• ??溯源分析??：通過流量日志定位攻擊入口。
• ??漏洞修復??：修補被利用的漏洞（如SQL注入、文件上傳）。

---

四、總結

Webshell流量特征因工具而異，但通常包含加密、固定參數或異常協議等行為。通過結合特征檢測和行為分析，可有效識別攻擊。防御需多層聯動，從流量監控到文件管理，形成完整防護體系。

??防御核心??：早發現、早阻斷、早溯源。