[TOC] ## 冰蝎 冰蝎其最大特点就是**对交互流量进行AES对称加密，且加密秘钥是由随机数函数动态生成**，因此该客户端的流量几乎无法检测 **1、通过密钥协商的过程中的一些特征来检测其他** 老版冰蝎工具在连接Webshell的时候会存在一个密钥协商的过程，这个过程是纯明文的数据交换，冰蝎存在这样的特征：发起一共两次的密钥协商，通过比较两次密钥协商的返回包中内容的不同部分来获取其中的密钥。 在这个协商过程中，防护设备可以结合URL、请求包和返回包的内容以及头部信息来综合进行判断，这种类型检测的优势是这部分的流程是冰蝎内置的实现，攻击者不太好进行修改绕过。而劣势是在大流量的环境下很容易引起大量的误报。 **2、通过Shell交互过程中的HTTP请求特征来检测** 冰蝎在发送HTTP请求时存在一些特征，例如其工具中内置了17个User-Agent头，在用户没有自定义的情况下会随机选择一个发送。但是这些User-Agent头大部分是一些老版本的浏览器或设备。这个类型检测的优势是检测方式比较简单，但是在大流量的环境下很容易引起误报，一般使用多个特征相结合的方法来改善误报的情况，并且这部分的特征通常是一些弱特征，攻击者可以通过定制请求头、使用代理等方式修改冰蝎的请求包很轻易的来绕过这类的检测。 **3、通过Webshell上传时的流量特征来检测** 在真实的攻击场景下，攻击者通常是通过文件上传、文件写入等方式来写入冰蝎的Webshell，所以流量设备也可以通过检测攻击场景的数据包来发现冰蝎的存在。这部分的流量形式主要取决于Web应用，是攻击者不好控制的，而且通常都是以明文形式进行传输，所以比较易于检测。 但是这种检测方式在遇到非文件上传等漏洞时，有可能无法捕捉到Webshell的特征。 冰蝎3.0 从防守方的角度看，这些改动中对防御设备影响最大的是第1点，也就是说，3.0版本的冰蝎不在有密钥协商的过程，从原理上直接绕过了大量流量检测设备（大部分设备是通过握手的行为来检测冰蝎的流量） ## 蚁剑 1、**编码器改造** 蚁剑在数据包中实际上是将解码函数一同发送到服务端，那几个解码函数是没法加密的，所以产生一个很明显 的流量特征，蚁剑也支持使用者自定义编码器和解码器 2、**请求头修改** 蚁剑默认的数据包里都携带了特别明显的请求头信息：User-Agent: antSword/v2.1，对WAF来说这简直 是自报家门 ## 总结 ~~~ 冰蝎改造将动态的AES密钥写死在webshell里，可以减少很多特征。 蚁剑就是将解码函数写死在webshell 里，也可以有效绕过WAF检测 ~~~