TLS握手客户端ClientHello报文特征

特征顺序
- SSLVersion 版本
- Cipher 客户端支持的加密套件
- SSLExtention SSL的扩展内容集合
- EllipticCurve SSL的扩展内容里面的【supported_groups】(CurveP256,CurveP384,CurveP521,X25519)
- EllipticCurvePointFormat SSL的扩展参数里面的【sec_point_formats】(uncompressed,ansiX962_compressed_prime,ansiX962_compressed_char2)
版本，加密套件，扩展等内容按顺序排列然后计算hash值，便可得到一个客户端的TLS FingerPrint
参考【web容器获取SSL指纹实现和Bypass】
参考【SSL/TLS指纹识别原理】
参考【AresX SSL指纹识别和绕过】

常见Shell工具流量特征

菜刀
- z0、z1
C刀
- sa=、source=web、cd=数字、url=、ei=
冰蝎
- 2.x
  - url包含.php?pass=
  - Transfer-Encoding: chunked
- 3.0
  - Content-Type: application/octet-stream
  - Accept&Cache-Control
哥斯拉
- 待补充
蚁剑
- @ini_set("display_errors", "0");
- Ex"&cHr(101)&"cute
CS
- 默认端口：50050
- 默认store证书特征：Alias name、Owner、Issuer
- 默认DNS Beacon特征：0.0.0.0
MSF

常见扫描器流量特征

Nmap

主要是流量特征，如TCP、UDP
其次就是SIP文件常用的脚本文件的特征

# 修改namp默认win窗口值
	tcpip.cc
	tcp->th_win = hosts(1-65535)

# 修改nmap-service-probes文件中关键词
	nmap，nm@nm，nm2@nm2，nm@p，nm，0PT10NS sip
	
	这些值酌情替换。

# 修改脚本中的值
	nselib/http.lua
	USERAGENT = stdnse.getscript_args('http.useragent')
	
	nselib/mssql.lua
	搜索Nmap NSE然后替换
	
	nselib/sip.lua
	搜索Nmap NSE然后替换
	
	scripts/http-sql-injection.nse
	搜索sqlspider然后替换
	
	scripts/ssl-heartbleed.nse
	搜索Nmap ssl-heartbleed替换
	
	nselib/rdp.lua
	local cookie = "mstshash=nmap"

# 修改使用-O参数发包填充内容
	osscan2.cc
	
	static u8 patternbyte = 0x43; /* character 'C' /
	
	替换为 static u8 patternbyte = 0x46; / character 'F' */