菜刀：

加密：base64

流量包特征：大量的base64密文、QG开头Qo结尾的固定代码( QGluaV9zZXQo )、有默认参数z0，存在eval，assert关键字

蚁剑：

特征：解密后有@ini_set("display_errors"，"0")，参数多数是0x=一串base64加密这种形式

冰蝎:

冰蝎2.0
强特征是 accept 里面有个 q=.2，因为内置了很多的UA头，所以当某一个相同IP重复请求，但是UA头不一样的时候就需要注意冰蝎（3次请求），Content-Length: 16, 16就是冰蝎2连接的特征

使用 aes 加密发起三次请求
（第一次请求服务端产生密钥写入 session ， session 和当前会话绑定，不同的客户端的密钥也是不同的 ，第二次请求是为了获取 key ，第三次使用 key 的 aes 加密进行通信）

冰蝎3.0
因为省去了协商过程（两次请求），所以流量上可以绕过很多，但是其他特征依旧保留，比如ua头的问题，无论GET还是POST，content-type为application/octet-stream

使用 aes 加密发起两次请求
（3.0 分析流量发现相比 2.0 少了动态密钥的获取的请求，不再使用随机生成 key ，改为取连接密码的 md5 加密值的前 16 位作为密钥
一次请求为判断是否可以建立连接，少了俩次 get 获取冰蝎动态密钥的行为，第二次发送 phpinfo 等代码执行，获取网站的信息）

冰蝎4：
q=0.01；十种ua头；端口问题，冰蝎4与webshell建立连接的同时，javaw也与目的主机建立tcp连接，每次连接使用本地端口在49700左右，每连接一次，每建立一次新的连接，端口就依次增加。(可以对符合该范围内的端口告警）

哥斯拉

cookie值末尾多出分号，base64加解码， 哥斯拉建立连接时会发起三次请求，第一次请求数据超级长，建立 session ，第二三次请求确认连接