rookie19_HUST

practical packet analysis, using wireshark to solve real-world problems, 2nd edition 知识总结

学校一般用自顶向下方法做计网教材，我觉得这本书也是可以做计网教材的。

文章目录

第一部分：基础知识
第二部分：嗅探器位置
第三部分：wireshark介绍
第四部分：常见底层协议
第五部分：常见上层协议
第六部分：断网问题
第七部分：网络缓慢问题
第八部分：网络安全抓包
第九部分：无线网络抓包
第十部分：工具推荐 & 学习资源推荐
- 工具推荐
- 学习资源推荐

第一部分：基础知识

A protocol stack is a logical grouping of protocols that work together.

many protocols commonly address the following issues：

connection initiation
negotiation of connection characteristics
data formatting
error detection and correction
connection termination

应用层： provides a means for users to actually access network resources

传输层：Through flow control, segmentation/desegmentation, and error control, the transport
layer makes sure data gets from point to point error-free. Because ensuring reliable data transportation can be extremely cumbersome, the OSI model devotes an entire layer to it.

网络层：routing data between physical networks（路由转发）

数据链路层： transporting data across a physical network

物理层：AD/DA

The term packet refers to a complete protocol data unit that includes header and footer information
from all layers of the OSI model.

keep in mind that not every packet on a network is generated from an application layer protocol.

集线器：A hub is no more than a repeating device that operates on the physical layer of the OSI model. It takes packets sent from one port and transmits (repeats) them to every other port on the device.
（半双工，大量无用流量，物理层）

交换机：Like a hub, a switch is designed to repeat packets. However, unlike a hub, rather than broadcasting data to every port, a switch sends data to only the computer for which the data is intended.
（全双工，仅指向特定MAC，因此是数据链路层）

路由器：Routers operate at layer 3 of the OSI model, where they are responsible for forwarding packets between two or more networks. Routers commonly use layer 3 addresses (such as IP addresses) to uniquely identify devices on a network.

广播：A broadcast packet is one that is sent to all ports on a network segment, regardless of whether that port is a hub or switch. All broadcast traffic is not created equally, however. There are layer 2 and layer 3 forms of broadcast traffic. For instance, on layer 2, the MAC address FF:FF:FF:FF:FF:FF is the reserved broadcast address, and any traffic sent to this address is broadcast to the entire network segment. Layer 3 also has a specific broadcast address.The highest possible IP address in an IP network range is reserved for use as the broadcast address.
The extent to which broadcast packets travel is called the broadcast domain. A device’s broadcast domain extends until it reaches a router.
（arp发现就是数据链路层的广播，问某个ip对应的MAC）

多播：The primary method of implementing multicast is via an addressing scheme that joins the packet recipients to a multicast group, which is how IP multicast works. This addressing scheme ensures that the packets cannot be transmitted to computers to which they are not destined. In fact, IP devotes an entire range of addresses to multicast. If you see an IP address in the 224.0.0.0 to 239.255.255.255 range, it is most likely multicast traffic.

A simple network in which all devices are connected via hubs or switches is called a local area network (LAN). When you want to connect two LANs together, you can do so with a router. Complex networks can consist of thousands of LANs connected through thousands of routers worldwide.
The Internet itself is a collection of millions of LANs and routers.

A key decision for effective packet analysis is where to position a packet sniffer to appropriately capture the data.

第二部分：嗅探器位置

（把嗅探器放进网络的过程称之为tap into the wire，得名于第三种方案）
Most operating systems (including Windows) will not let you use a a network interface card in promiscuous mode unless you have elevated user privileges.

监听hub network是最简单的，网线插到同一个hub就行。不过hub已经基本弃用了。接下来讲的是switch network。

对于switch network，When you connect a sniffer to a port on a switch, you can see only
broadcast traffic and the traffic transmitted and received by your machine.
There are four primary ways to capture traffic from a target device on a switched network: port mirroring, hubbing out, using a tap, and ARP cache poisoning.

port mirroring
you must have access to the command-line or web-management interface of the switch
on which the target computer is located.
To enable port mirroring, you issue a command that forces the switch to copy all traffic on one port to another port. For instance, to capture the traffic from a device on port 3 of a switch, you could simply plug your analyzer into port 4 and mirror port 3 to port 4, allowing you to see all traffic transmitted
and received by your target device.
hubbing out
tap

至于non-aggregated tap，有4个口，两个方向的流量由两块网卡分别监听。
arp cache poisoning
其实就是arp欺骗。arp欺骗可以像下图一样用做监听，也可以把所有包或者大部分包丢掉实现DoS攻击。cain&abel可以用来做arp欺骗。

如果target的流量过大，可以利用非对称路由解决。从A到B所走的路由和从B到A所走的路由不同，称为非对称路由。

作者还提到了第五种方法， install a packet sniffing application on a single device from which we want to capture traffic. 也就是下表中的direct install。

As analysts, we need to be as stealthy as possible. In a perfect world, we collect the data we need without leaving a footprint. Just as forensic investigators don’t want to contaminate a crime scene, we don’t want to contaminate our captured network traffic.（这段话解释了arp cache poisoning为什么’sloppy’，因为它需要注入新的包）

下图讲的是如何选择：

接下来讲的是router network。

All of the techniques for tapping into the wire on a switched network are available on routed networks as well.
不过，由于route network中多个segment的存在， it is often necessary to sniff the traffic of multiple devices on multiple segments in order to pinpoint a problem.

第三部分：wireshark介绍

可以将capture的结果保存或导出，可以只保存符合条件的包的记录。导出是为了在其它地方查看或者用其它工具进行包分析。
保存的文件可以融合。
使用ctrl-f可以进行包查找，有三种查找方式，之前用的应该都是display filter：

ctrl-n和ctrl-b可以在查找结果中进行上下切换。
还可以对包进行标记：
To mark a packet, right-click it in the Packet List pane and choose Mark Packet from the pop-up or click a packet in the Packet List pane and press CTRL-M. To unmark a packet, toggle this setting off using CTRL-M again. You can mark as many packets as you wish in a capture. To jump forward and
backward between marked packets, press SHIFT-CTRL-N and SHIFT-CTRL-B, respectively.

可以打印输出文件。

Wireshark can show the absolute timestamp indicating the exact moment when the packet was captured, as well as the time in relation to the last captured packet(或者the last displayed packet) and the beginning and end of the capture.
除此之外，还可以以某个包为计时基准。

wireshark有自动保存功能。
For instance, you can create a trigger that creates a new file after every 1MB of traffic captured, or after every minute of traffic captured.
类似地，也可以设置用于停止的trigger。

题外话：https://www.cnblogs.com/mauricewei/p/10502300.html
因为在书中看见了ring buffer，也就是循环缓冲区。

实时显示捕捉到的包并自动滚动到底部是processor intensive操作，可以取消勾选。

filters其实有两种，capture filters和display filters。之前用的应该都是后者。
A simple example of when you might use a capture filter is when capturing traffic on a server with multiple roles.

Capture filters are applied by WinPcap and use the Berkeley Packet Filter (BPF) syntax. This syntax is common in several packet-sniffing applications, mostly because most packet-sniffing applications rely on the libpcap/WinPcap libraries, which allow for the use of BPFs.

关于怎么写filter expression、BPF的知识，原书亦有详细介绍，在此节选。
One of the real powers of the BPF syntax is the ability that it gives us to examine every byte of a protocol header in order to create very specific filters based on that data.
you can also specify the length of the data to be returned in your filter expression by appending the byte length after the offset number within the square brackets, separated by a colon.

icmp[0:2]表示offset为0，length为2。
所以说，熟悉不同协议header各字段的含义对于写expression至关重要。

wireshark还提供了能组合现成filter的GUI。当然，也可以自己写expression。

注意上下两幅图一个是capture filter，一个是display filter。
本书第五章介绍了高级的wireshark功能（capture-reformat-statistics）
题外话：内网网段有三段，10.0.0.0/8，172.16.0.0/12，192.168.0.0/16

Notice that not all totals add up to exactly 100 percent. Because many of the packets contain multiple protocols from various layers.
The Protocol Hierarchy Statistics window is often one of the first windows you look at when examining traffic. It really gives you a good snapshot of the type of activity occurring on a network.

通过配置wireshark的capture option，可以使用wireshark自身的name resolution，以此方便阅读。有三类，

MAC NAME RESOLUTION MAC->IP
NETWORK NAME RESOLUTION IP->DOMAIN NAME
TRANSPORT NAME RESOLUTION 80->HTTP
虽然方便，但也有问题，The dependence on DNS may cause additional packets to be generated. 也就是说，分析者的包也会被混进来。原书还提到了其他问题。

安全指南中经常提到不要使用默认端口，如果有这类特殊配置的话：
Unfortunately, Wireshark does not always make the right choices when selecting the dissector to use on a packet. This is especially true when it is using a protocol on the network in a nonstandard configuration, such as a non-default port (which is often configured by network administrators as a
security precaution or by employees trying to circumvent access controls). Luckily, we can change the way Wireshark implements certain dissectors.

如上图，443被用作了FTP，wireshark可以调整过来。

在wireshark官网上的develop-browse the code可以查看源码。file-epan-dissectors下以packet开头的就是各协议的dissector（即翻译器）。

wireshark有tcp流追踪的功能：
Rather than viewing data being sent from client to server in a bunch of small chunks, the Follow TCP Stream feature sorts the data to make it easier to view. This comes in handy when viewing plaintext application layer protocols such as HTTP, FTP, and so on.

wireshark能够统计包的长度：
Under normal circumstances, the maximum size of a frame on an Ethernet network is 1,518 bytes. When you subtract the Ethernet, IP, and TCP headers from this number, that leaves you with 1,460 bytes that can be used for the transmission of a layer 7 protocol header or data.The Ethernet header
is 14 bytes (plus a 4-byte CRC), the IP header is a minimum of 20 bytes, and a TCP packet with no data or options is also 20 bytes.
If there are a lot of large packets, it may be safe to assume that data is being transferred. If the majority of packets are small, you may assume that the capture consists of protocol control commands, without a great deal of data being passed.

高亮的属于large packets，40-79的属于small packets。

wireshark可以统计实时IO和round trip time并绘图。

wireshark提供expert info，可以发现流量中的异常。书中罗列了所有可能的告警信息。

第四部分：常见底层协议

The ARP resolution process uses only two packets: an ARP request and an ARP response.
You can view the ARP table of a Windows host by typing arp –a from a command prompt.

Operation字段: either 1 for a request or 2 for a reply.
Hardware type一般是Ethernet，对应的hardware address length为6。MAC 48 bits。

对于普通的arp request，缺的是目标ip的MAC；
对于gratuitous arp request，广播的目的是告诉大家自己的ip和自己的mac，因为设备的ip可能会变化。此类包的特征就是， the sender IP address and the target IP address are the same

An IP address consists of two parts: a network address and a host address. The network address
identifies the LAN the device is connected to, and the host address identifies the device itself on that network.
IP addresses and netmasks are commonly written in Classless Inter-Domain Routing (CIDR) notation for shorthand.For example, an IP address of 10.10.1.22 and a netmask of 255.255.0.0 would be written in CIDR notation as 10.10.1.22/16.

Type of Service
A precedence flag and type of service flag, which are used by routers to prioritize traffic.
identification
A unique identification number used to identify a packet or sequence of fragmented packets.
flags（more flag，如果为1表示后面还有）
Used to identify whether or not a packet is part of a sequence of fragmented packets.
fragment offset
If a packet is a fragment, the value of this field is used to reassemble the packets in the correct order.
这个值的典型值如1480、2960。
options
Reserved for additional IP options. It includes options for source routing and timestamps.
正常说来，路由是由中间的路由器内置的路由表决定的，但源路由不同，由源地址决定。
源路由，使用者可以指定包的路由，可用于测试某特定网络的吞吐率，也可以使数据包绕开出错的网络。

TTL的设置主要是为了避免死循环。可通过的路由器的最大值。

关于MTU与分段：
Although there are standard MTU settings, the MTU of a device can be reconfigured manually in most cases. An MTU setting is assigned on a per-interface basis and can be modified on Windows and Linux systems, as well as on the interfaces of managed routers.
记住1518，1500，1480，1460，14+4，20，20。
If the data size is greater than the MTU, the packet will be fragmented.

TCP：
All TCP-based communication works the same way: a random source port is chosen to communicate to a known destination port.

TCP头：

TCP端口：
16位，65535个，0号预留，1-1023是标准端口。wireshark对大于1024的端口同样有列表记录，不过仅供参考。可以自定义修改这个列表。If you wish to leave this functionality enabled but want to change how Wireshark identifies a certain port, you can do so by modifying the Services file located
in the Wireshark program directory, which is based on the Internet Assigned Numbers Authority (IANA) common ports listing.
iana规定了1-1023，链接和截图如下：
http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml

书中对tcp的三次握手进行了抓包分析。

注意标志位和number。

TCP四次挥手：

TCP reset：
In an ideal world, every connection would end gracefully with a TCP teardown. In reality, connections often end abruptly. For example, this may occur due to a potential attacker performing a port scan or simply a misconfigured host. In these cases, a TCP packet with the RST flag set is used. The RST flag is used to indicate a connection was closed abruptly or to refuse a connection attempt.
（比如说，src向dst未监听的端口发包，就会收到rst包）
The RST packet contains nothing other than RST and ACK flags , and no further communication follows.

为什么不能两次握手：因为通信双方的初始序列号都需要得到确认。
为什么握手三次而挥手四次：因为半关闭的需求，所以挥手中的ACK和FIN不能合二为一。

UDP的目标、无连接的含义：
While TCP is designed for reliable data delivery with built-in error checking, UDP aims to provide speedy transmission. For this reason, UDP is a best-effort service, commonly referred to as a connectionless protocol.A connectionless protocol does not formally establish and terminate
a connection between hosts, unlike TCP with its handshake and teardown processes.

如何平衡UDP的不可靠：
the protocols that rely on UDP typically have their own built-in reliability services, or use certain features of ICMP to make the connection somewhat more reliable. For example, the application-layer protocols DNS and DHCP, which are highly dependent on the speed of packet transmission across a network, use UDP as their transport layer protocol, but they handle error checking and retransmission timers themselves.
要么容忍丢包，要么在应用层保障可靠性。

UDP头：

https://blog.csdn.net/u013929635/article/details/80254973 为什么UDP有长度，TCP无长度
从信息冗余的角度来看，UDP的长度信息是不需要的。
因为IPv4的头部已经包含了数据的长度信息，这里的数据如果当前的通讯协议是UDP，那么这个长度就包含了UDP的头部和UDP的数据，因为UDP的头部长度固定为8字节，那么这样就很容易的算出UDP的数据的长度了。
如果没有这这部分信息，那么UDP的头部就不是32对齐的。

ip头、tcp头、udp头都有校验和，都是16位。ip头中的校验和是针对ip头的（不包括后面的数据）。

icmp:

For example, a Type field value of 3 indicates “Destination Unreachable.” Code field value of 3, indicating “Port Unreachable,” For a full list of available ICMP types and codes, see http://www.iana.org/assignments/icmp-parameters.
icmp包的长度是可以变化的，用于测试分片。icmp包的data是随机的，可能用来隐秘通信。
variable在普通的问答中是相同的序列号，表示回答匹配提问。

icmp除了ping，还可以用于traceroute。基本原理是递增的ttl，可以确保沿途每一个router都回复一次。回复包中会附带发送包的ip头和icmp头。

IP, TCP, UDP, and ICMP are at the foundation of all network communications.

第五部分：常见上层协议

DHCP:
目前的DHCP服务器一般会同时提供ip地址、dns服务器地址和默认网关。
DHCP是基于UDP的（抓包时会显示五层的信息，可以看见传输层的协议）。
Wireshark still references BOOTP when dealing with DHCP. 前者是后者的前身。
dhcp使用67和68两个端口。一个用于收，一个用于发。

DORA
discover: src 0.0.0.0 dst 255.255.255.255, 因为提问者还没有jp，也不知道dhcp server的ip
offer: dhcp服务器把准备好的ip地址放在your ip address，还有自己的ip地址。options中有租约时长等信息。首先使用提问者的MAC，不行就广播。
request: src 0.0.0.0 dst 255.255.255.255，但options中会包含自己准备请求的ip和dhcp server的ip
acknowledgement: 内容类似offer，不过next server ip为空。
详情可以看四幅原书插图。
租约的刷新只用做后两步。

DHCP比较灵活，option中的type字段决定了option的其他内容。

DOMAIN NAME SYSTEM
也是基于UDP。

其它三个count字段含义是类似的，其它三个section的含义也是类似的。
DNS ID用于匹配问答，16-31位是各标志位和返回值。
QR：query/request
AA：authoritative answer
TC：truncation（应答包过大而截断）
RD：recursion desired
RA：recursion available
Z：reserved
RCode：response code

DNS服务器默认使用53端口。
DNS的应答包里也会包含查询包的查询。

上图的IXFR和AXFR，zone transfer，每台DNS server都有自己管理的命名空间，有的时候需要备用的DNS server，此时就需要zone transfer。这个过程使用的是TCP。

靠近叶端的服务器成为子域的权威服务器。
上图有点网络拓扑的味道，所以要考虑到泄露的风险。The data contained in a zone transfer can be very dangerous in the wrong hands. For example, by enumerating a single DNS server, you can map a network’s entire infrastructure.

HTTP：
http的包结构因目的不同会有很大差异。

HTTP1.1有8种request方法。
上图中， the client is sending a request to download (GET) the root web directory (/) of the web server using version 1.1 of HTTP.
agent和language等信息是为了让服务器返回合适版本的页面。
HTTP is used only to issue application layer commands between the client and server. When it’s time to transfer data, application layer control is not seen, except for at the beginning and end of the data stream.
一个http请求，可能会有多个标记为tcp的包。

第六部分：断网问题

这里特指360断网急救箱解决的那一类问题。

只有一台电脑上不了网
抓包发现这台电脑反复对外发送同一dns请求。这说明其dns请求一直没有得到回答。
然而，内网中其它电脑可以上网，说明内网中其它电脑可以访问到外部的dns服务器（路由没问题），且外部dns服务器没有问题。
答案是这台电脑没有使用dhcp，其默认网关配置错误，所以其dns请求并未到达外部的dns服务器。
只有一台电脑上不了google
抓包发现这台电脑在试图上google时，能正确获取到默认网关的地址，但没有发出任何dns请求，随后
对某ip的80端口发起连接后收到rst，这说明google故障或者根本就不是google。
没发dns请求说明本机有dns cache，或者本机hosts配置了。
答案是本机hosts文件将google解析到一个内网地址，而该机没开80端口。
所有电脑都上不了google
抓包发现dns有请求有应答，并且是正确的应答。
发现发出了大量的tcp syn报文，但没有得到任何回应。
这可能是因为这些tcp syn报文被过滤了，或者是google有问题。
答案是google暂时出了问题。
打印机只打印前几页
抓包发现前面的数据包能收到打印机的ack，但之后出现了tcp重传。通过调整wireshark的时间显示设置，发现第一个未经确认的包在5.5秒之后发生了重传。此后打印机再无回应。
换不同的电脑都有同样的问题，因此大概率是打印机的问题。
答案是打印机的ram故障了，当打印机的ram的某个位置被访问时，打印机就停止工作了。
分部连不上总部
在分部电脑抓包，分部电脑能发dns，但分部的dns服务器回复一个failure。
在分部dns server抓包，分部的dns向总部dns server的53端口发起了tcp连接而不是udp连接。
这说明，很有可能是发生了dns domain transfer，并且transfer失败了。
在总部dns server抓包，没有收到分部dns server的请求。
答案是，总部路由器的防火墙禁止对53端口的tcp连接。
收端和发端的数据不一样
这可能是网络问题，也有可能不是。
在接收端抓包，通过filter查ftp的stor命令，找到传输的起点，然后跟踪tcp stream，导出csv文件，对比导出文件与发送端文件的md5。

第七部分：网络缓慢问题

rto, retransmission timeout
重传是有次数上限的。windows默认是5，linux一般默认是15。
timer超过RTO就会重传（连续重传时，RTO会不断加倍），连续收到三个冗余ack之后就会发生快速重传。

wireshark 的 seq/ack analysis一栏可以提供单独观察一个包时得不到的信息，比如重传和快速重传。

TCP流量控制：

如果想接收大于窗口的数据，必须要先ack并且清空一次缓冲区。
但有的时候即使ack了也来不及立即处理，此时需要调整窗口大小。

服务器发现接受速率过大的时候，会调整窗口大小，并告知众客户端。这样客户端就会慢点发。

client在收到0窗口后，会定期发送keep alive包。或称为保活探测。
keep alive包的序列号与之前相同（纯ack包无数据），或是之前-1（1字节数据如0x0）。
除了用于流量控制，服务端也有可能会发送keep alive给客户端，以清理意外断开的连接。

如何判断延迟的来源：

首先抓建立连接的六个包（三次握手、http请求、http应答、第一次传数据），观察其延迟。
1s左右算延迟高，正常情况下每个包<0.1s。

第一种情况：线路造成的延迟
三次握手和http应答几乎不需要处理，所以如果它们的延迟很高，基本可以确定是线路问题（比如防火墙、代理、路由器），而不是服务端或客户端的问题。

第二种情况：客户端造成的延迟
主要看http请求的延迟是否较高。

第三种情况：服务端造成的延迟
主要看第一次传数据的延迟是否较高。

六包法的精度不太够，它可以发现1个延迟多了1s的，但很难发现10个延迟多了0.1s的。对此，还有基线法。快慢是相对的，通过一段时间的抽样，总结出基线，作为快慢的参照物。

第八部分：网络安全抓包

抓包也可以用于入侵检测和取证。

tcp-syn：半开放扫描，或者叫隐秘扫描

从上两个图中，我们知道53、80和22开了，因为服务端反复回答了syn-ack，113、25、31337、70关闭了，因为服务端回答了rst。剩下的其它端口很有可能是关的，但无法确定。

操作系统判断：

由于rfc没有规定所有东西，不同的操作系统对tcp/ip协议栈有不同的实现。
通过这种实现差异，可以实现被动扫描。

至于操作系统的主动扫描，参考Nmap Network Scanning, by the tool’s author Gordon “Fyodor” Lyon.

一次tcp reverse shell攻击的抓包分析
iframe，内联框架，用于在html文档中嵌入另一个html文档。不容易被用户发现。

从图中可以看出，script括号内有大量明显是编码后的字符，还有作用是编解码的JavaScript代码。此外，iframe中有一个名字奇怪的gif。

以及最明显的，明文中的shell。上述三个特征是经典的tcp reverse shell。

如果想制作一个好的入侵检测系统，关键是收集足够多的入侵数据（类似上面这种），从而总结规律（专业点说，叫构造signature库）。 To learn more about intrusion detection and attack signatures, visit the Snort project at http://www.snort.org/.
一个实际例子是，IDS会检查进入内网的数据包，如果包含hexadecimal content 41 4E 41 42 49 4C 47 49 7C，也就是ANA BILGI in human-readable ASCII，就会发出警报。这跟老式的病毒检测系统很像。

MITM man-in-the-middle 的四种情况
arp欺骗
dns欺骗
tcp会话劫持
ssl劫持

wireshark可以导出文件，比如ftp传送的文件，jpg文件等等。比如上面提到的入侵检测的实例，jpg文件的头部会有jfif：

如果想顺利导出，可以使用winhex等二进制编辑器把前面多余的内容删掉。

第九部分：无线网络抓包

无线网的协议是802.11。美国规定只有11个频道，每个无线局域网只有可能位于其中一个频道，一次也只能监听其中一个频道。
当然，已经有专门的无线扫描工具（比如kismet wireless），利用channel hopping，能快速在频道间切换从而实现类似多频道监听的效果。
除了墙体、反射面等对信号的影响，还应该考虑到相邻频道之间的干涉。

无线网的故障排查更为复杂，需要做频道分析，观察是否是频道干涉造成丢包等问题。

发现了一个宝藏博主，https://www.aneasystone.com/archives/2016/08/wireless-analysis-one-monitoring.html，是一位理论基础扎实又爱自己动手的博主。除了无线网络安全，博主对其它内容也有研究。

原书中讲解了windows下的无线包嗅探（需要借助usb设备airpcap，因为windows的nic（网络接口控制器）驱动一般不允许切换到monitor模式，即使nic本身支持也不行）和linux下的无线包嗅探（只要本机nic支持monitor模式，切换即可）。操作细节可以看原书和上面的博主。

无线包和有线包的区别在于，无线包的数据链路层有一个802.11头。
802.11有三种包。

management 在数据链路层建立主机间的连接
比如authentication、association、beacon
control 传输控制
比如rts request-to-send，cts clear-to-send
data 包含实际数据的包
只有data类型的包能从无线网进入有线网

以beacon包为例，其80211头中包括beacon interval、WAP（无线接入点）的SSID、WAP的设备类型、所在频道等信息。
wireshark抓到的无线包能提供的其它比较重要的参数如RSSI (received signal strength indication), TX rate （传输速率）。

无线网抓包相比有线网更不容易过滤，因为对于无线网来说，整个空气中就十几个频道，监听一个频道就会监听整个频道上的所有信息。而有线网可以轻松指定过滤会话双方。

关于SSID和BSSID：
举个例子，一家公司面积比较大，安装了若干台无线接入点（AP或者无线路由器），公司员工只需要知道一个SSID就可以在公司范围内任意地方接入无线网络。BSSID其实就是每个无线接入点的MAC地址。当员工在公司内部移动的时候，SSID是不变的。但BSSID随着你切换到不同的无线接入点，是在不停变化的。(https://www.zhihu.com/question/24362037/answer/36048064)
在很多情况下，可以将BSSID理解为WAP的MAC。

过滤时可以指定BSSID、包类型等。

WEP，wired equivalent privacy
WPA，Wi-Fi protected access
此外还有WPA2。

WEP的过程（一次问答就出结果）：

WAP广播一个challenge text
如果客户端想接入，就用密钥去解密这个challenge text，并回传
WAP检查内容是否正确，如果正确，说明客户端知道WEP KEY，就允许接入，返回的包中的status code为0x0000，表示成功。

WPA的过程（成功需要两次问答，失败需要更多次）：

WAP广播beacon，表示自己支持WPA
WPA握手

第十部分：工具推荐 & 学习资源推荐

工具推荐

tcpdump & windump ：前者可以配合sed（插删查替）和awk（正则、类excel）使用，后者是windows版。

cain & abel ：工具集。用途之一是arp缓存下毒。

scapy：用于包伪造的python库。

netdude：linux下的包伪造和包编辑，有GUI。

colasoft packet builder：windows下的包伪造和包编辑，有GUI。

cloudshark：在线分享抓到的包。

pcapr：在线分享各种协议的demo抓包。

networkMiner：主要用于取证，擅长解析PCAP文件

ngrep：用于在PCAP文件中搜索，适用于过滤器太过复杂甚至做不到的情况。

libpcap：用于包分析的c/c++库，wireshark和tcpdump都有借用其内容。

hping：包伪造、包编辑、包发送。

domain dossier：可以用于查询域名/ip的注册信息。

学习资源推荐

wireshark 官网：上有官方文档和源码

SANS Security Intrusion Detection In-Depth Course：作者东家的课程

http://www.chrissanders.org/ ：作者的博客

http://www.packetstan.com/ ：作者力荐的博客

http://www.wiresharktraining.com/ ：作者推荐的wireshark布道人

http://www.iana.org/ ：查1-1023端口号，查RFC

TCP/IP illustrated by Richard Stevens, tcp/ip bible

The TCP/IP guide by Charles Kozierok, great for visual learner

你可能感兴趣的:(读书,网络)

100天30本书读书计划（2018-06-11）DAY 62 一个姜姜
【书名】当我谈跑步时，我谈些什么【作者】村上春树【读书页数】51--128/187【读书时间】2018年6月11日【精彩句子】01肌肉难长，易消。赘肉易长，难消。P5502肌肉也同有血有肉的动物一般无二，它也愿意过更舒服的日子，不继续给它负荷，它便会心安理得地将记忆出去。想再度输入的话，必须得从头开始，将同样的模式重复一遍。P7703不管怎样，反正得坚持跑步。每天跑步对我来说好比生命线，不能说忙就
python抓包与解包_Python—网络抓包与解包（pcap、dpkt） weixin_39691055 python抓包与解包
pcap安装[root@localhost~]#pipinstallpypcap抓包与解包#-*-coding:utf-8-*-importpcap,dpktimportre,threading,requests__black_ip=['103.224.249.123','203.66.1.212']#抓包：param1eth_name网卡名，如：eth0,eth3。param2p_type日志捕
2022年河南省高等职业教育技能大赛云计算赛项竞赛赛卷（样卷）忘川_ydy 云计算云计算 openstack kubernetes docker python k8s ansible
#需要资源（软件包及镜像）或有问题的，可私博主！！！#需要资源（软件包及镜像）或有问题的，可私博主！！！#需要资源（软件包及镜像）或有问题的，可私博主！！！第一部分：私有云任务1私有云服务搭建(10分)使用提供的用户名密码，登录竞赛用的云计算平台，按要求自行使用镜像创建两台云主机，创建完云主机后确保网络正常通信，然后按要求配置服务器。根据提供安装脚本框架，补充脚本完成OpenStack平台的安装搭
自律计划：从早睡早起开始犀首公孫衍
今天天气十分不错，阳光明媚。下午趁着阳光充足，想去田野里走一走。两个多月了，几乎都是在家待着，大门不出二门不迈。上大学以来，可几乎不怎么去到田间地头看一看。3月正是油菜花开放的季节，满地的金黄色，草木也开始生出了绿色的芽儿。眼前的景儿，让人眼明心亮。一年之计在于春，春天是最美好的季节。这样一个特殊的春天，让我暂时脱离了学校，也算有了一些新的收获吧。开始有了一些好的改变，开始坚持每天读书，保持较好的
【计算机网络】第 3 问：电路交换、报文交换、分组交换之间的区别？孤独打铁匠Julian #计算机408考研面试计算机网络计算机网络网络
电路交换、报文交换、分组交换之间的区别？省流图详解电路交换电路交换的优点电路交换的缺点建立连接时间长的原因报文交换报文交换的优点报文交换的缺点分组交换分组交换的优点分组交换的缺点比较总结省流图详解电路交换在进行数据传输前，两个结点之间必须先建立一条专用（双方独占）的物理通信路径（由通信双方之间的交换设备和链路逐段连接而成），该路径可能经过许多中间结点。这一路径在整个数据传输期间一直被独占，直到通信
浇灌根部山静幽兰
“浇灌根部。”对，浇灌根部。张学青点醒了我。无论是我自己，还是我学生，都，正需要浇灌。正因为虚度了那么多岁月，不曾懂得浇灌自己，我这棵树才长得如此缓慢，四十多岁才长成今天这个样子。好在我现在的学生还小，犹如一棵棵小芽，浇灌正是时候。是的，要浇就浇根部。我的根，在课堂。根在课堂，就认认真真读书，读有“盐”的书，长智的书。以前也常看那些抚慰灵魂的“心灵鸡汤”，但时间长了觉得发腻，对我的语文教学也帮不了
2021.12.13 自律日记夏舒帅然a
深感时光转瞬即逝，如指缝流金！自律、习惯养成、执行力提高迫在眉睫！今天是什么日子：平日艳阳天起床：7：50任务清单（明日）1.起床：7:302.就寝：10：103.读书30分钟4.打两套太极5.两次静坐（每次15分钟）昨日完成的任务情况，最重要的三件事一.读书30分。未完成二.就寝10：00完成三.起床7：30未完成四.打两套太极未完成五.两次静坐（每次15分钟）未完成习惯养成：早睡早起、每日读书
子非鱼，焉知鱼之乐零启若
在如今网络爆飞信息发达的时代，我们会在各种论坛以及平台看到不计其数的评论，有一些人在评论的时候总是以高尚的道德为标准和底线去衡量，评判，甚至谩骂他人。并且觉得自己充满正义感，义正辞严。这些人姑且不说有没有考虑到别人的感受，更没有感同身受的体验，只是凭借着言论自由，甚至是一种猥琐和变相的心理发泄。就像人和动物一样，人类总是以高等动物自居，高高在上，并且认为人类吃食各种动物都是理所当然，动物就是给人吃
#D174-读书会作业-《财务自由之路》3 白洲笔记
最近沉迷于写作营，一直就没时间去弄读书会的作业，书的第二遍也就看了个开头，趁着日更的时间，赶紧把作业做了，这次是15到21课。【1.印象最深刻的部分】(本周所读内容中印象最深刻的部分)*活在未来，最正确的方法是什么？用正确的方法做正确的事情，判断什么是正确的？逻辑。学会思考。"作对事情"永远比“把事情作对“重要的多。”长远思考，耐心验证，小心总结提炼“证明自己正确并不是学习的任务和目标，时刻成长，
读书笔记《穿越寒冬》如雪般飞舞
各位好，我们今天来讲一本书，名字叫作《穿越寒冬》。看起来特别应景，大家觉得现在创业的状况不景气，大家都在忍受着寒冬的煎熬。但实际上，这本书的英文名字并不是这个意思，它的英文名叫作“如何创立一家新公司，并且能够活下来”。我在整个读完了以后，我发现这本书真正要翻译得好，它的名字应该叫作《创业生存手册》。这个书的作者，来自硅谷的霍夫曼船长。霍夫曼船长写过一本让创业者觉得特别贴心的书，叫作《让大象飞》它和
关于举办第十五届蓝桥杯全国软件和信息技术专业人才大赛项目实战赛的通知 QSNKJJSW 蓝桥杯职场和发展青少年编程无人机机器人科技人工智能
各高等院校及相关单位：为贯彻落实《中国教育现代化2035》和《国务院关于印发新时期促进集成电路产业和软件产业高质量发展若干政策的通知》有关精神，为我国制造强国和网络强国战略提供人才支持，提高学生自主创新意识和工程实践能力，工业和信息化部人才交流中心决定举办第十五届蓝桥杯全国软件和信息技术专业人才大赛——项目实战赛。大赛连续四年入围中国高等教育学会“全国普通高校大学生竞赛排行榜”竞赛项目榜单。现将项
桃李春风一杯酒行走的石头521
桃李春风一杯酒，江湖夜雨十年灯。回眸处，雾霭沉沉。跌宕的现世里，与自己和解，不计较，不解释，不纠结，不凑合，读书品茗，赏花听雨，也不失为一种富足与自由。非常喜欢这段话，可能是最近桃花朵朵开的缘故吧！让我不由得想起了那些诗词里的桃花:1、桃花春水生，白石今出没。摇萝枝，半摇青天月。——李白《忆秋浦桃花旧游》2、桃花潭水深千尺，不及汪伦送我情！——李白《赠汪伦》3、黄雀始欲衔花来，君家种桃花未开。长安
【真诚子】通晓鬼谷第七篇读书日记。真诚子l通晓鬼谷
今天把个人品牌，从193读到208页，书的内容质量出奇的高，尤其是这一段。对标学习法，找一个比自己强，或者你期望成为的人进行模仿性学习，对标学习，不是到处，去找人对标兵学习很多人的优点，或是学习自己认为好的方面，而是找准一个对标高手，然后全方位的学习这个人。我在做品牌咨询时就对标，学习了一个在国内很有名的行业顶尖大咖。我先找到他公司的方案，进行完全模仿，连PPT的排版都一样，而且我只参照他一个人的
网络安全（黑客）——自学2024 小言同学喜欢挖漏洞 web安全安全网络学习网络安全信息安全渗透测试
01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一
黑客（网络安全）技术自学30天一个迷人的黑客 web安全安全网络笔记网络安全信息安全渗透测试
01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一
生活中的很多事是既令人生气又令人伤感，但却还无可奈何城中隐士
今天一打开手机，就看到姨娘家的姐姐兰兰在抖音上发了一则信息，信息内容如下：“我绝对不是我爸妈亲生的，不知他们是从哪儿把我捡回来的”。图源网络，侵则必删今天一大早，天刚蒙蒙亮，姨父就着急莫慌给姨妈家姐姐来一电话，说是家里今天有急事，喊她赶紧回去。还没等姐姐反应过来，姨父就草草地挂断了电话。吓得姐姐立马清醒，以为家里不知出了多大的事？她赶紧从床上爬起来以最快速度第一时间从温江赶到中江。等她顶着烈日，风
李金清焦点网络初级班34期约练46次，坚持分享79天清水清水
约练心得咨询中，忍受不了沉默；聊天中，忍受不了寂静；工作中，忍受不了闲暇。自己心中按耐不住的着急，总想一步做的最好，总想让大家开心，总怕别人尴尬，总怕冷场，，，这些都充满着习惯，充满着认为自己该做的事。咨询中的沉默是为了让来访者时间考虑思索，更好的打开，有力咨询的开展。聊天中的静下来，是为了对上个问题的思考和对下个问题的开展留有空间。工作中的闲暇，是为了让自己有时间静下来整理和积累，为了以后的忙而
《人脉是设计出来的》P81-P99 叶子君sasha
忙完一轮供应小学生早餐过后，我就忙着去办健康证了。9点左右，我从医院回到店里了。早上一般没有客人，前段时间（迷茫许久的时期），因为自己心情浮躁，一直都没有好好看书，今天终于好好地看了一会书，这本书的书名叫《人脉是设计出来的》，作者名字叫张超。这本书在我还没开店的时候就买了，但是没有怎么认真去思考书中的内容，看了很容易忘，便以这样的方式，写读后感。读书有个输入输出的过程，才能成为自己的东西。对吧？回
物联网边缘网关有哪些优势？-天拓四方北京天拓四方科技股份有限公司物联网其他边缘计算
随着物联网技术的快速发展，越来越多的设备接入网络，数据交互日益频繁，对数据处理和传输的要求也越来越高。在这样的背景下，物联网边缘网关应运而生，以其低延迟、减少带宽消耗、提高数据质量和安全性等优势，为物联网应用提供了强大的支持。物联网边缘网关的应用场景广泛，几乎涵盖了所有需要实时数据处理和传输的领域。在工业场景中，边缘计算网关可以实时处理海量传感器和设备的数据，实现对运行、制造过程的全环节实时监控、
朱老师第578天早安问候高飞1
欢迎来到博星教育108将讲师朱老师课堂，这里是朱老师第578条早安问候。当你满心期待地想着教会孩子一些本领，但是孩子用一句“我不会”来回应。你的心情是什么样的呢？我想很多父母都会有这样的苦恼。因为你看给孩子辅导作业时，各种被逼得上跳下窜的父母，就好像看到了自己过去的样子，或者是当下的模样。在情绪失控的情况下，父母最喜欢给孩子贴标签：“你就不是读书的料。”“你跟你那个没出息的爹一样。”“你蠢得像一个
Element-UI中el-time-picker时间选择器无法选择爱健身的小刘同学 bug Element Vue系列 javascript 前端 elementui
前言前几天开发时，在做一个时间选择时，遇到了无法选中时间的问题在网络上找了解决方法，特此记录一下解决方法我的代码结构营业时间时间选择不上的原因是因为初始值问题很有可能是最开始赋值为空数组了所以有3个解决方法1.设置为nullbusinessTimeInfo:null2.设置当前时间businessTimeInfo:[newDate(newDate()),newDate(newDate())]（默认
计算机网络知识点汇总蓝小俊
第1章概述P36习题3、7、14、15、17、22、24、262.“协议”与“服务”的异同点？答：（1）协议是控制两个对等实体进行通信的规则的集合。在协议的控制下，两个对等实体间的通信使得本层能够向上一层提供服务，而要实现本层协议，还需要使用下面一层提供服务。（2）协议和服务的概念的区分：1、协议的实现保证了能够向上一层提供服务。本层的服务用户只能看见服务而无法看见下面的协议。下面的协议对上面的服
2023-11-07 碎碎念念的每一天
忽然开始自卑了，感觉自己无论各个方面都太平平，读书不多，家务做不好，体重控制的不好，早起也困难，起来又不知道该做什么，没有一个可以为之奋斗的目标，也没有很好的交际圈，感觉自己就像一只在笼子里的鸟，想飞也飞不高……我想改变这样的现状，可该如何呢？其实都是我不够努力，没有争分夺秒，没有自律，这些都是我未来跟人拉开差距的原因，所以，我不应该只是自卑，自卑过头会变成焦虑，我应该努力去改变，哪怕改变一小点，
自学黑客（网络安全）技术——2024最新九九归二 web安全安全学习笔记网络网络安全信息安全
01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一
一个可以随时被打扰的人南询yi
今日分享十点读书一篇推文，有个可以随时打扰的人真好。在这个世界上，有没有一个你可以随时打扰的人？当你累了的时候，可以彼此依靠；当你想哭的时候，可以借你肩膀；当你开心的时候，可以一起大笑。正因为有这样的人存在，我们才不会觉得孤立无援。他们就像无坚不摧的铠甲，时刻保护着我们，帮我们抵御痛苦、驱散阴霾。无论是在茫茫戈壁，还是艰难坎坷的人生，有一个人能随时可以打扰，都是一种莫大的幸福。在这个人面前，我们不
PaperWeekly sapienst Papers PaperwithCode General ML
1.Python软件包解决DL在未见过的数据分布下性能差的问题：（1）神经网络和损失分离的模块化设计（2）强大便捷的基准测试能力（3）易于使用但难以修改（4）github:https://github.com/marrlab/domainlabTrainer和Models之间是什么关系Trainer和Models是DomainLab中的两个核心概念。Trainer是一个用于指导数据流向模型并计算S
计算机常用端口号王依硕 linux 服务器 ssh
ftp：（20端口）用于ftp服务，用于数据传输。ftp：（21端口）用于文件上传和下载。ssh：（22端口）用于安全Shell访问和文件传输。telnet：（23端口）用于远程命令行计算机管理。smtp：（25端口）用于发送电子邮件。dns：（53端口）用于域名解析。dhcp：（67和68端口）用于动态分配IP地址和配置网络参数。tftp：（69端口）使用udp连接。finger：（79端口）是
pdu电源线_pdu电源插座与普通电源插座的区别夹心酱紫 pdu电源线
描述pdu电源插座与普通电源插座的区别1、两者的功能不同普通插座只具备供电过载保护和总控开关的功能，而PDU不仅有供电过载保护和总控开关，还具备防雷抗冲电压、防静电防火等功能。2、两者的材料不同普通插座采用的是塑料材质，而PDU电源插座采用的是金属材质，具有防静电的作用。3、两者的应用领域不同普通插座一般应用于家庭或办公室，为计算机等电器提供电源，而PDU插座电源一般应用于数据中心、网络系统和工业
ReactNative应用打包后无网络解决方案程序猿也会飞最佳实践 react native android react.js
ReactNative打包应用后，应用没有网络解决方案：在android\app\src\main\res下创建xml文件夹在xml文件夹中创建network_security_config.xml文件network_security_config.xml内容：在android\app\src\main文件夹AndroidManifest.xml文件内的Application标签中添加属性andr
ChatGPT技巧大揭秘：AI写代码新境界 2401_83550420 chatgpt4.0 chatgpt chatgpt 人工智能 AI写作
ChatGPT无限次数:点击直达ChatGPT技巧大揭秘：AI写代码新境界随着人工智能技术的不断进步，开发人员现在有了更多有趣的工具来提高他们的工作效率。其中，ChatGPT作为一种基于深度学习的自然语言处理模型，已经成为许多开发者的新宠。在本文中，我们将揭秘使用ChatGPT来帮助编写代码的技巧，探索AI在编程领域的新境界。ChatGPT简介ChatGPT是一种基于大型神经网络的对话生成模型，它
继之前的线程循环加到窗口中运行 3213213333332132 java thread JFrame JPanel
之前写了有关java线程的循环执行和结束，因为想制作成exe文件，想把执行的效果加到窗口上，所以就结合了JFrame和JPanel写了这个程序，这里直接贴出代码，在窗口上运行的效果下面有附图。 package thread; import java.awt.Graphics; import java.text.SimpleDateFormat; import java.util
linux 常用命令 BlueSkator linux 命令
1.grep 相信这个命令可以说是大家最常用的命令之一了。尤其是查询生产环境的日志，这个命令绝对是必不可少的。但之前总是习惯于使用（grep -n 关键字文件名）查出关键字以及该关键字所在的行数，然后再用（sed -n '100,200p' 文件名），去查出该关键字之后的日志内容。但其实还有更简便的办法，就是用（grep -B n、-A n、-C n 关键
php heredoc原文档和nowdoc语法 dcj3sjt126com PHP heredoc nowdoc
<!doctype html> <html lang="en"> <head> <meta charset="utf-8"> <title>Current To-Do List</title> </head> <body> <?
overflow的属性周华华 JavaScript
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml&q
《我所了解的Java》——总体目录 g21121 java
准备用一年左右时间写一个系列的文章《我所了解的Java》，目录及内容会不断完善及调整。在编写相关内容时难免出现笔误、代码无法执行、名词理解错误等，请大家及时指出，我会第一时间更正。 &n
[简单]docx4j常用方法小结 53873039oycg docx
本代码基于docx4j-3.2.0，在office word 2007上测试通过。代码如下: import java.io.File; import java.io.FileInputStream; import ja
Spring配置学习云端月影 spring配置
首先来看一个标准的Spring配置文件 applicationContext.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi=&q
Java新手入门的30个基本概念三 aijuans java 新手 java 入门
17.Java中的每一个类都是从Object类扩展而来的。　　18.object类中的equal和toString方法。　　equal用于测试一个对象是否同另一个对象相等。　　toString返回一个代表该对象的字符串,几乎每一个类都会重载该方法,以便返回当前状态的正确表示.(toString 方法是一个很重要的方法)　　 19.通用编程:任何类类型的所有值都可以同object类性的变量来代替。　
《2008 IBM Rational 软件开发高峰论坛会议》小记 antonyup_2006 软件测试敏捷开发项目管理 IBM 活动
我一直想写些总结,用于交流和备忘,然都没提笔,今以一篇参加活动的感受小记开个头,呵呵! 其实参加《2008 IBM Rational 软件开发高峰论坛会议》是9月4号,那天刚好调休.但接着项目颇为忙,所以今天在中秋佳节的假期里整理了下. 参加这次活动是一个朋友给的一个邀请书,才知道有这样的一个活动,虽然现在项目暂时没用到IBM的解决方案,但觉的参与这样一个活动可以拓宽下视野和相关知识.
PL/SQL的过程编程,异常,声明变量,PL/SQL块百合不是茶 PL/SQL的过程编程异常 PL/SQL块声明变量
PL/SQL; 过程; 符号; 变量; PL/SQL块; 输出; 异常; PL/SQL 是过程语言(Procedural Language)与结构化查询语言(SQL)结合而成的编程语言PL/SQL 是对 SQL 的扩展,sql的执行时每次都要写操作
Mockito(三)--完整功能介绍 bijian1013 持续集成 mockito 单元测试
mockito官网：http://code.google.com/p/mockito/，打开documentation可以看到官方最新的文档资料。一.使用mockito验证行为 //首先要import Mockito import static org.mockito.Mockito.*; //mo
精通Oracle10编程SQL(8)使用复合数据类型 bijian1013 oracle 数据库 plsql
/* *使用复合数据类型 */ --PL/SQL记录 --定义PL/SQL记录 --自定义PL/SQL记录 DECLARE TYPE emp_record_type IS RECORD( name emp.ename%TYPE, salary emp.sal%TYPE, dno emp.deptno%TYPE ); emp_
【Linux常用命令一】grep命令 bit1129 Linux常用命令
grep命令格式 grep [option] pattern [file-list] grep命令用于在指定的文件(一个或者多个,file-list)中查找包含模式串(pattern)的行,[option]用于控制grep命令的查找方式。 pattern可以是普通字符串，也可以是正则表达式，当查找的字符串包含正则表达式字符或者特
mybatis3入门学习笔记白糖_ sql ibatis qq jdbc 配置管理
MyBatis 的前身就是iBatis，是一个数据持久层(ORM)框架。 MyBatis 是支持普通 SQL 查询，存储过程和高级映射的优秀持久层框架。MyBatis对JDBC进行了一次很浅的封装。以前也学过iBatis，因为MyBatis是iBatis的升级版本，最初以为改动应该不大，实际结果是MyBatis对配置文件进行了一些大的改动，使整个框架更加方便人性化。
Linux 命令神器：lsof 入门 ronin47 lsof
lsof是系统管理/安全的尤伯工具。我大多数时候用它来从系统获得与网络连接相关的信息，但那只是这个强大而又鲜为人知的应用的第一步。将这个工具称之为lsof真实名副其实，因为它是指“列出打开文件（lists openfiles）”。而有一点要切记，在Unix中一切（包括网络套接口）都是文件。有趣的是，lsof也是有着最多
java实现两个大数相加，可能存在溢出。 bylijinnan java实现
import java.math.BigInteger; import java.util.regex.Matcher; import java.util.regex.Pattern; public class BigIntegerAddition { /** * 题目：java实现两个大数相加，可能存在溢出。 * 如123456789 + 987654321
Kettle学习资料分享，附大神用Kettle的一套流程完成对整个数据库迁移方法 Kai_Ge Kettle
Kettle学习资料分享 Kettle 3.2 使用说明书目录概述..........................................................................................................................................7 1.Kettle 资源库管
[货币与金融]钢之炼金术士 comsci 金融
自古以来,都有一些人在从事炼金术的工作.........但是很少有成功的那么随着人类在理论物理和工程物理上面取得的一些突破性进展...... 炼金术这个古老
Toast原来也可以多样化 dai_lm android toast
Style 1：默认 Toast def = Toast.makeText(this, "default", Toast.LENGTH_SHORT); def.show(); Style 2：顶部显示 Toast top = Toast.makeText(this, "top", Toast.LENGTH_SHORT); t
java数据计算的几种解决方法3 datamachine java hadoop ibatis r-langue r
4、iBatis 简单敏捷因此强大的数据计算层。和Hibernate不同，它鼓励写SQL，所以学习成本最低。同时它用最小的代价实现了计算脚本和JAVA代码的解耦，只用20%的代价就实现了hibernate 80%的功能,没实现的20%是计算脚本和数据库的解耦。复杂计算环境是它的弱项，比如：分布式计算、复杂计算、非数据
向网页中插入透明Flash的方法和技巧 dcj3sjt126com html Web Flash
将 Flash 作品插入网页的时候，我们有时候会需要将它设为透明，有时候我们需要在Flash的背面插入一些漂亮的图片，搭配出漂亮的效果……下面我们介绍一些将Flash插入网页中的一些透明的设置技巧。　　一、Swf透明、无坐标控制　　首先教大家最简单的插入Flash的代码，透明，无坐标控制：　　注意wmode="transparent"是控制Flash是否透明
ios UICollectionView的使用 dcj3sjt126com
UICollectionView的使用有两种方法，一种是继承UICollectionViewController，这个Controller会自带一个UICollectionView；另外一种是作为一个视图放在普通的UIViewController里面。个人更喜欢第二种。下面采用第二种方式简单介绍一下UICollectionView的使用。 1.UIViewController实现委托，代码如
Eos平台java公共逻辑蕃薯耀 Eos平台java公共逻辑 Eos平台 java公共逻辑
Eos平台java公共逻辑 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 蕃薯耀 2015年6月1日 17:20:4
SpringMVC4零配置--Web上下文配置【MvcConfig】 hanqunfeng springmvc4
与SpringSecurity的配置类似，spring同样为我们提供了一个实现类WebMvcConfigurationSupport和一个注解@EnableWebMvc以帮助我们减少bean的声明。 applicationContext-MvcConfig.xml  <
解决ie和其他浏览器poi下载excel文件名乱码 jackyrong Excel
使用poi,做传统的excel导出，然后想在浏览器中，让用户选择另存为，保存用户下载的xls文件，这个时候，可能的是在ie下出现乱码（ie,9,10,11),但在firefox,chrome下没乱码，因此必须综合判断，编写一个工具类： /** * * @Title: pro
挥洒泪水的青春 lampcy 编程生活程序员
2015年2月28日，我辞职了，离开了相处一年的触控，转过身--挥洒掉泪水，毅然来到了兄弟连，背负着许多的不解、质疑——”你一个零基础、脑子又不聪明的人，还敢跨行业，选择Unity3D？“，”真是不自量力••••••“，”真是初生牛犊不怕虎•••••“，••••••我只是淡淡一笑，拎着行李----坐上了通向挥洒泪水的青春之地——兄弟连！这就是我青春的分割线，不后悔，只会去用泪水浇灌——已经来到
稳增长之中国股市两点意见-----严控做空，建立涨跌停版停牌重组机制 nannan408
对于股市，我们国家的监管还是有点拼的，但始终拼不过飞流直下的恐慌，为什么呢？笔者首先支持股市的监管。对于股市越管越荡的现象，笔者认为首先是做空力量超过了股市自身的升力，并且对于跌停停牌重组的快速反应还没建立好，上市公司对于股价下跌没有很好的利好支撑。我们来看美国和香港是怎么应对股灾的。美国是靠禁止重要股票做空，在
动态设置iframe高度(iframe高度自适应) Rainbow702 JavaScript iframe contentDocument 高度自适应局部刷新
如果需要对画面中的部分区域作局部刷新，大家可能都会想到使用ajax。但有些情况下，须使用在页面中嵌入一个iframe来作局部刷新。对于使用iframe的情况，发现有一个问题，就是iframe中的页面的高度可能会很高，但是外面页面并不会被iframe内部页面给撑开，如下面的结构： <div id="content"> <div id=&quo
用Rapael做图表 tntxia rap
function drawReport(paper,attr,data){ var width = attr.width; var height = attr.height; var max = 0; &nbs
HTML5 bootstrap2网页兼容（支持IE10以下） xiaoluode html5 bootstrap
<!DOCTYPE html> <html> <head lang="zh-CN"> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge">