rookie19_HUST

practical packet analysis, using wireshark to solve real-world problems, 2nd edition 知识总结

学校一般用自顶向下方法做计网教材，我觉得这本书也是可以做计网教材的。

文章目录

第一部分：基础知识
第二部分：嗅探器位置
第三部分：wireshark介绍
第四部分：常见底层协议
第五部分：常见上层协议
第六部分：断网问题
第七部分：网络缓慢问题
第八部分：网络安全抓包
第九部分：无线网络抓包
第十部分：工具推荐 & 学习资源推荐
- 工具推荐
- 学习资源推荐

第一部分：基础知识

A protocol stack is a logical grouping of protocols that work together.

many protocols commonly address the following issues：

connection initiation
negotiation of connection characteristics
data formatting
error detection and correction
connection termination

应用层： provides a means for users to actually access network resources

传输层：Through flow control, segmentation/desegmentation, and error control, the transport
layer makes sure data gets from point to point error-free. Because ensuring reliable data transportation can be extremely cumbersome, the OSI model devotes an entire layer to it.

网络层：routing data between physical networks（路由转发）

数据链路层： transporting data across a physical network

物理层：AD/DA

The term packet refers to a complete protocol data unit that includes header and footer information
from all layers of the OSI model.

keep in mind that not every packet on a network is generated from an application layer protocol.

集线器：A hub is no more than a repeating device that operates on the physical layer of the OSI model. It takes packets sent from one port and transmits (repeats) them to every other port on the device.
（半双工，大量无用流量，物理层）

交换机：Like a hub, a switch is designed to repeat packets. However, unlike a hub, rather than broadcasting data to every port, a switch sends data to only the computer for which the data is intended.
（全双工，仅指向特定MAC，因此是数据链路层）

路由器：Routers operate at layer 3 of the OSI model, where they are responsible for forwarding packets between two or more networks. Routers commonly use layer 3 addresses (such as IP addresses) to uniquely identify devices on a network.

广播：A broadcast packet is one that is sent to all ports on a network segment, regardless of whether that port is a hub or switch. All broadcast traffic is not created equally, however. There are layer 2 and layer 3 forms of broadcast traffic. For instance, on layer 2, the MAC address FF:FF:FF:FF:FF:FF is the reserved broadcast address, and any traffic sent to this address is broadcast to the entire network segment. Layer 3 also has a specific broadcast address.The highest possible IP address in an IP network range is reserved for use as the broadcast address.
The extent to which broadcast packets travel is called the broadcast domain. A device’s broadcast domain extends until it reaches a router.
（arp发现就是数据链路层的广播，问某个ip对应的MAC）

多播：The primary method of implementing multicast is via an addressing scheme that joins the packet recipients to a multicast group, which is how IP multicast works. This addressing scheme ensures that the packets cannot be transmitted to computers to which they are not destined. In fact, IP devotes an entire range of addresses to multicast. If you see an IP address in the 224.0.0.0 to 239.255.255.255 range, it is most likely multicast traffic.

A simple network in which all devices are connected via hubs or switches is called a local area network (LAN). When you want to connect two LANs together, you can do so with a router. Complex networks can consist of thousands of LANs connected through thousands of routers worldwide.
The Internet itself is a collection of millions of LANs and routers.

A key decision for effective packet analysis is where to position a packet sniffer to appropriately capture the data.

第二部分：嗅探器位置

（把嗅探器放进网络的过程称之为tap into the wire，得名于第三种方案）
Most operating systems (including Windows) will not let you use a a network interface card in promiscuous mode unless you have elevated user privileges.

监听hub network是最简单的，网线插到同一个hub就行。不过hub已经基本弃用了。接下来讲的是switch network。

对于switch network，When you connect a sniffer to a port on a switch, you can see only
broadcast traffic and the traffic transmitted and received by your machine.
There are four primary ways to capture traffic from a target device on a switched network: port mirroring, hubbing out, using a tap, and ARP cache poisoning.

port mirroring
you must have access to the command-line or web-management interface of the switch
on which the target computer is located.
To enable port mirroring, you issue a command that forces the switch to copy all traffic on one port to another port. For instance, to capture the traffic from a device on port 3 of a switch, you could simply plug your analyzer into port 4 and mirror port 3 to port 4, allowing you to see all traffic transmitted
and received by your target device.
hubbing out
tap

至于non-aggregated tap，有4个口，两个方向的流量由两块网卡分别监听。
arp cache poisoning
其实就是arp欺骗。arp欺骗可以像下图一样用做监听，也可以把所有包或者大部分包丢掉实现DoS攻击。cain&abel可以用来做arp欺骗。

如果target的流量过大，可以利用非对称路由解决。从A到B所走的路由和从B到A所走的路由不同，称为非对称路由。

作者还提到了第五种方法， install a packet sniffing application on a single device from which we want to capture traffic. 也就是下表中的direct install。

As analysts, we need to be as stealthy as possible. In a perfect world, we collect the data we need without leaving a footprint. Just as forensic investigators don’t want to contaminate a crime scene, we don’t want to contaminate our captured network traffic.（这段话解释了arp cache poisoning为什么’sloppy’，因为它需要注入新的包）

下图讲的是如何选择：

接下来讲的是router network。

All of the techniques for tapping into the wire on a switched network are available on routed networks as well.
不过，由于route network中多个segment的存在， it is often necessary to sniff the traffic of multiple devices on multiple segments in order to pinpoint a problem.

第三部分：wireshark介绍

可以将capture的结果保存或导出，可以只保存符合条件的包的记录。导出是为了在其它地方查看或者用其它工具进行包分析。
保存的文件可以融合。
使用ctrl-f可以进行包查找，有三种查找方式，之前用的应该都是display filter：

ctrl-n和ctrl-b可以在查找结果中进行上下切换。
还可以对包进行标记：
To mark a packet, right-click it in the Packet List pane and choose Mark Packet from the pop-up or click a packet in the Packet List pane and press CTRL-M. To unmark a packet, toggle this setting off using CTRL-M again. You can mark as many packets as you wish in a capture. To jump forward and
backward between marked packets, press SHIFT-CTRL-N and SHIFT-CTRL-B, respectively.

可以打印输出文件。

Wireshark can show the absolute timestamp indicating the exact moment when the packet was captured, as well as the time in relation to the last captured packet(或者the last displayed packet) and the beginning and end of the capture.
除此之外，还可以以某个包为计时基准。

wireshark有自动保存功能。
For instance, you can create a trigger that creates a new file after every 1MB of traffic captured, or after every minute of traffic captured.
类似地，也可以设置用于停止的trigger。

题外话：https://www.cnblogs.com/mauricewei/p/10502300.html
因为在书中看见了ring buffer，也就是循环缓冲区。

实时显示捕捉到的包并自动滚动到底部是processor intensive操作，可以取消勾选。

filters其实有两种，capture filters和display filters。之前用的应该都是后者。
A simple example of when you might use a capture filter is when capturing traffic on a server with multiple roles.

Capture filters are applied by WinPcap and use the Berkeley Packet Filter (BPF) syntax. This syntax is common in several packet-sniffing applications, mostly because most packet-sniffing applications rely on the libpcap/WinPcap libraries, which allow for the use of BPFs.

关于怎么写filter expression、BPF的知识，原书亦有详细介绍，在此节选。
One of the real powers of the BPF syntax is the ability that it gives us to examine every byte of a protocol header in order to create very specific filters based on that data.
you can also specify the length of the data to be returned in your filter expression by appending the byte length after the offset number within the square brackets, separated by a colon.

icmp[0:2]表示offset为0，length为2。
所以说，熟悉不同协议header各字段的含义对于写expression至关重要。

wireshark还提供了能组合现成filter的GUI。当然，也可以自己写expression。

注意上下两幅图一个是capture filter，一个是display filter。
本书第五章介绍了高级的wireshark功能（capture-reformat-statistics）
题外话：内网网段有三段，10.0.0.0/8，172.16.0.0/12，192.168.0.0/16

Notice that not all totals add up to exactly 100 percent. Because many of the packets contain multiple protocols from various layers.
The Protocol Hierarchy Statistics window is often one of the first windows you look at when examining traffic. It really gives you a good snapshot of the type of activity occurring on a network.

通过配置wireshark的capture option，可以使用wireshark自身的name resolution，以此方便阅读。有三类，

MAC NAME RESOLUTION MAC->IP
NETWORK NAME RESOLUTION IP->DOMAIN NAME
TRANSPORT NAME RESOLUTION 80->HTTP
虽然方便，但也有问题，The dependence on DNS may cause additional packets to be generated. 也就是说，分析者的包也会被混进来。原书还提到了其他问题。

安全指南中经常提到不要使用默认端口，如果有这类特殊配置的话：
Unfortunately, Wireshark does not always make the right choices when selecting the dissector to use on a packet. This is especially true when it is using a protocol on the network in a nonstandard configuration, such as a non-default port (which is often configured by network administrators as a
security precaution or by employees trying to circumvent access controls). Luckily, we can change the way Wireshark implements certain dissectors.

如上图，443被用作了FTP，wireshark可以调整过来。

在wireshark官网上的develop-browse the code可以查看源码。file-epan-dissectors下以packet开头的就是各协议的dissector（即翻译器）。

wireshark有tcp流追踪的功能：
Rather than viewing data being sent from client to server in a bunch of small chunks, the Follow TCP Stream feature sorts the data to make it easier to view. This comes in handy when viewing plaintext application layer protocols such as HTTP, FTP, and so on.

wireshark能够统计包的长度：
Under normal circumstances, the maximum size of a frame on an Ethernet network is 1,518 bytes. When you subtract the Ethernet, IP, and TCP headers from this number, that leaves you with 1,460 bytes that can be used for the transmission of a layer 7 protocol header or data.The Ethernet header
is 14 bytes (plus a 4-byte CRC), the IP header is a minimum of 20 bytes, and a TCP packet with no data or options is also 20 bytes.
If there are a lot of large packets, it may be safe to assume that data is being transferred. If the majority of packets are small, you may assume that the capture consists of protocol control commands, without a great deal of data being passed.

高亮的属于large packets，40-79的属于small packets。

wireshark可以统计实时IO和round trip time并绘图。

wireshark提供expert info，可以发现流量中的异常。书中罗列了所有可能的告警信息。

第四部分：常见底层协议

The ARP resolution process uses only two packets: an ARP request and an ARP response.
You can view the ARP table of a Windows host by typing arp –a from a command prompt.

Operation字段: either 1 for a request or 2 for a reply.
Hardware type一般是Ethernet，对应的hardware address length为6。MAC 48 bits。

对于普通的arp request，缺的是目标ip的MAC；
对于gratuitous arp request，广播的目的是告诉大家自己的ip和自己的mac，因为设备的ip可能会变化。此类包的特征就是， the sender IP address and the target IP address are the same

An IP address consists of two parts: a network address and a host address. The network address
identifies the LAN the device is connected to, and the host address identifies the device itself on that network.
IP addresses and netmasks are commonly written in Classless Inter-Domain Routing (CIDR) notation for shorthand.For example, an IP address of 10.10.1.22 and a netmask of 255.255.0.0 would be written in CIDR notation as 10.10.1.22/16.

Type of Service
A precedence flag and type of service flag, which are used by routers to prioritize traffic.
identification
A unique identification number used to identify a packet or sequence of fragmented packets.
flags（more flag，如果为1表示后面还有）
Used to identify whether or not a packet is part of a sequence of fragmented packets.
fragment offset
If a packet is a fragment, the value of this field is used to reassemble the packets in the correct order.
这个值的典型值如1480、2960。
options
Reserved for additional IP options. It includes options for source routing and timestamps.
正常说来，路由是由中间的路由器内置的路由表决定的，但源路由不同，由源地址决定。
源路由，使用者可以指定包的路由，可用于测试某特定网络的吞吐率，也可以使数据包绕开出错的网络。

TTL的设置主要是为了避免死循环。可通过的路由器的最大值。

关于MTU与分段：
Although there are standard MTU settings, the MTU of a device can be reconfigured manually in most cases. An MTU setting is assigned on a per-interface basis and can be modified on Windows and Linux systems, as well as on the interfaces of managed routers.
记住1518，1500，1480，1460，14+4，20，20。
If the data size is greater than the MTU, the packet will be fragmented.

TCP：
All TCP-based communication works the same way: a random source port is chosen to communicate to a known destination port.

TCP头：

TCP端口：
16位，65535个，0号预留，1-1023是标准端口。wireshark对大于1024的端口同样有列表记录，不过仅供参考。可以自定义修改这个列表。If you wish to leave this functionality enabled but want to change how Wireshark identifies a certain port, you can do so by modifying the Services file located
in the Wireshark program directory, which is based on the Internet Assigned Numbers Authority (IANA) common ports listing.
iana规定了1-1023，链接和截图如下：
http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml

书中对tcp的三次握手进行了抓包分析。

注意标志位和number。

TCP四次挥手：

TCP reset：
In an ideal world, every connection would end gracefully with a TCP teardown. In reality, connections often end abruptly. For example, this may occur due to a potential attacker performing a port scan or simply a misconfigured host. In these cases, a TCP packet with the RST flag set is used. The RST flag is used to indicate a connection was closed abruptly or to refuse a connection attempt.
（比如说，src向dst未监听的端口发包，就会收到rst包）
The RST packet contains nothing other than RST and ACK flags , and no further communication follows.

为什么不能两次握手：因为通信双方的初始序列号都需要得到确认。
为什么握手三次而挥手四次：因为半关闭的需求，所以挥手中的ACK和FIN不能合二为一。

UDP的目标、无连接的含义：
While TCP is designed for reliable data delivery with built-in error checking, UDP aims to provide speedy transmission. For this reason, UDP is a best-effort service, commonly referred to as a connectionless protocol.A connectionless protocol does not formally establish and terminate
a connection between hosts, unlike TCP with its handshake and teardown processes.

如何平衡UDP的不可靠：
the protocols that rely on UDP typically have their own built-in reliability services, or use certain features of ICMP to make the connection somewhat more reliable. For example, the application-layer protocols DNS and DHCP, which are highly dependent on the speed of packet transmission across a network, use UDP as their transport layer protocol, but they handle error checking and retransmission timers themselves.
要么容忍丢包，要么在应用层保障可靠性。

UDP头：

https://blog.csdn.net/u013929635/article/details/80254973 为什么UDP有长度，TCP无长度
从信息冗余的角度来看，UDP的长度信息是不需要的。
因为IPv4的头部已经包含了数据的长度信息，这里的数据如果当前的通讯协议是UDP，那么这个长度就包含了UDP的头部和UDP的数据，因为UDP的头部长度固定为8字节，那么这样就很容易的算出UDP的数据的长度了。
如果没有这这部分信息，那么UDP的头部就不是32对齐的。

ip头、tcp头、udp头都有校验和，都是16位。ip头中的校验和是针对ip头的（不包括后面的数据）。

icmp:

For example, a Type field value of 3 indicates “Destination Unreachable.” Code field value of 3, indicating “Port Unreachable,” For a full list of available ICMP types and codes, see http://www.iana.org/assignments/icmp-parameters.
icmp包的长度是可以变化的，用于测试分片。icmp包的data是随机的，可能用来隐秘通信。
variable在普通的问答中是相同的序列号，表示回答匹配提问。

icmp除了ping，还可以用于traceroute。基本原理是递增的ttl，可以确保沿途每一个router都回复一次。回复包中会附带发送包的ip头和icmp头。

IP, TCP, UDP, and ICMP are at the foundation of all network communications.

第五部分：常见上层协议

DHCP:
目前的DHCP服务器一般会同时提供ip地址、dns服务器地址和默认网关。
DHCP是基于UDP的（抓包时会显示五层的信息，可以看见传输层的协议）。
Wireshark still references BOOTP when dealing with DHCP. 前者是后者的前身。
dhcp使用67和68两个端口。一个用于收，一个用于发。

DORA
discover: src 0.0.0.0 dst 255.255.255.255, 因为提问者还没有jp，也不知道dhcp server的ip
offer: dhcp服务器把准备好的ip地址放在your ip address，还有自己的ip地址。options中有租约时长等信息。首先使用提问者的MAC，不行就广播。
request: src 0.0.0.0 dst 255.255.255.255，但options中会包含自己准备请求的ip和dhcp server的ip
acknowledgement: 内容类似offer，不过next server ip为空。
详情可以看四幅原书插图。
租约的刷新只用做后两步。

DHCP比较灵活，option中的type字段决定了option的其他内容。

DOMAIN NAME SYSTEM
也是基于UDP。

其它三个count字段含义是类似的，其它三个section的含义也是类似的。
DNS ID用于匹配问答，16-31位是各标志位和返回值。
QR：query/request
AA：authoritative answer
TC：truncation（应答包过大而截断）
RD：recursion desired
RA：recursion available
Z：reserved
RCode：response code

DNS服务器默认使用53端口。
DNS的应答包里也会包含查询包的查询。

上图的IXFR和AXFR，zone transfer，每台DNS server都有自己管理的命名空间，有的时候需要备用的DNS server，此时就需要zone transfer。这个过程使用的是TCP。

靠近叶端的服务器成为子域的权威服务器。
上图有点网络拓扑的味道，所以要考虑到泄露的风险。The data contained in a zone transfer can be very dangerous in the wrong hands. For example, by enumerating a single DNS server, you can map a network’s entire infrastructure.

HTTP：
http的包结构因目的不同会有很大差异。

HTTP1.1有8种request方法。
上图中， the client is sending a request to download (GET) the root web directory (/) of the web server using version 1.1 of HTTP.
agent和language等信息是为了让服务器返回合适版本的页面。
HTTP is used only to issue application layer commands between the client and server. When it’s time to transfer data, application layer control is not seen, except for at the beginning and end of the data stream.
一个http请求，可能会有多个标记为tcp的包。

第六部分：断网问题

这里特指360断网急救箱解决的那一类问题。

只有一台电脑上不了网
抓包发现这台电脑反复对外发送同一dns请求。这说明其dns请求一直没有得到回答。
然而，内网中其它电脑可以上网，说明内网中其它电脑可以访问到外部的dns服务器（路由没问题），且外部dns服务器没有问题。
答案是这台电脑没有使用dhcp，其默认网关配置错误，所以其dns请求并未到达外部的dns服务器。
只有一台电脑上不了google
抓包发现这台电脑在试图上google时，能正确获取到默认网关的地址，但没有发出任何dns请求，随后
对某ip的80端口发起连接后收到rst，这说明google故障或者根本就不是google。
没发dns请求说明本机有dns cache，或者本机hosts配置了。
答案是本机hosts文件将google解析到一个内网地址，而该机没开80端口。
所有电脑都上不了google
抓包发现dns有请求有应答，并且是正确的应答。
发现发出了大量的tcp syn报文，但没有得到任何回应。
这可能是因为这些tcp syn报文被过滤了，或者是google有问题。
答案是google暂时出了问题。
打印机只打印前几页
抓包发现前面的数据包能收到打印机的ack，但之后出现了tcp重传。通过调整wireshark的时间显示设置，发现第一个未经确认的包在5.5秒之后发生了重传。此后打印机再无回应。
换不同的电脑都有同样的问题，因此大概率是打印机的问题。
答案是打印机的ram故障了，当打印机的ram的某个位置被访问时，打印机就停止工作了。
分部连不上总部
在分部电脑抓包，分部电脑能发dns，但分部的dns服务器回复一个failure。
在分部dns server抓包，分部的dns向总部dns server的53端口发起了tcp连接而不是udp连接。
这说明，很有可能是发生了dns domain transfer，并且transfer失败了。
在总部dns server抓包，没有收到分部dns server的请求。
答案是，总部路由器的防火墙禁止对53端口的tcp连接。
收端和发端的数据不一样
这可能是网络问题，也有可能不是。
在接收端抓包，通过filter查ftp的stor命令，找到传输的起点，然后跟踪tcp stream，导出csv文件，对比导出文件与发送端文件的md5。

第七部分：网络缓慢问题

rto, retransmission timeout
重传是有次数上限的。windows默认是5，linux一般默认是15。
timer超过RTO就会重传（连续重传时，RTO会不断加倍），连续收到三个冗余ack之后就会发生快速重传。

wireshark 的 seq/ack analysis一栏可以提供单独观察一个包时得不到的信息，比如重传和快速重传。

TCP流量控制：

如果想接收大于窗口的数据，必须要先ack并且清空一次缓冲区。
但有的时候即使ack了也来不及立即处理，此时需要调整窗口大小。

服务器发现接受速率过大的时候，会调整窗口大小，并告知众客户端。这样客户端就会慢点发。

client在收到0窗口后，会定期发送keep alive包。或称为保活探测。
keep alive包的序列号与之前相同（纯ack包无数据），或是之前-1（1字节数据如0x0）。
除了用于流量控制，服务端也有可能会发送keep alive给客户端，以清理意外断开的连接。

如何判断延迟的来源：

首先抓建立连接的六个包（三次握手、http请求、http应答、第一次传数据），观察其延迟。
1s左右算延迟高，正常情况下每个包<0.1s。

第一种情况：线路造成的延迟
三次握手和http应答几乎不需要处理，所以如果它们的延迟很高，基本可以确定是线路问题（比如防火墙、代理、路由器），而不是服务端或客户端的问题。

第二种情况：客户端造成的延迟
主要看http请求的延迟是否较高。

第三种情况：服务端造成的延迟
主要看第一次传数据的延迟是否较高。

六包法的精度不太够，它可以发现1个延迟多了1s的，但很难发现10个延迟多了0.1s的。对此，还有基线法。快慢是相对的，通过一段时间的抽样，总结出基线，作为快慢的参照物。

第八部分：网络安全抓包

抓包也可以用于入侵检测和取证。

tcp-syn：半开放扫描，或者叫隐秘扫描

从上两个图中，我们知道53、80和22开了，因为服务端反复回答了syn-ack，113、25、31337、70关闭了，因为服务端回答了rst。剩下的其它端口很有可能是关的，但无法确定。

操作系统判断：

由于rfc没有规定所有东西，不同的操作系统对tcp/ip协议栈有不同的实现。
通过这种实现差异，可以实现被动扫描。

至于操作系统的主动扫描，参考Nmap Network Scanning, by the tool’s author Gordon “Fyodor” Lyon.

一次tcp reverse shell攻击的抓包分析
iframe，内联框架，用于在html文档中嵌入另一个html文档。不容易被用户发现。

从图中可以看出，script括号内有大量明显是编码后的字符，还有作用是编解码的JavaScript代码。此外，iframe中有一个名字奇怪的gif。

以及最明显的，明文中的shell。上述三个特征是经典的tcp reverse shell。

如果想制作一个好的入侵检测系统，关键是收集足够多的入侵数据（类似上面这种），从而总结规律（专业点说，叫构造signature库）。 To learn more about intrusion detection and attack signatures, visit the Snort project at http://www.snort.org/.
一个实际例子是，IDS会检查进入内网的数据包，如果包含hexadecimal content 41 4E 41 42 49 4C 47 49 7C，也就是ANA BILGI in human-readable ASCII，就会发出警报。这跟老式的病毒检测系统很像。

MITM man-in-the-middle 的四种情况
arp欺骗
dns欺骗
tcp会话劫持
ssl劫持

wireshark可以导出文件，比如ftp传送的文件，jpg文件等等。比如上面提到的入侵检测的实例，jpg文件的头部会有jfif：

如果想顺利导出，可以使用winhex等二进制编辑器把前面多余的内容删掉。

第九部分：无线网络抓包

无线网的协议是802.11。美国规定只有11个频道，每个无线局域网只有可能位于其中一个频道，一次也只能监听其中一个频道。
当然，已经有专门的无线扫描工具（比如kismet wireless），利用channel hopping，能快速在频道间切换从而实现类似多频道监听的效果。
除了墙体、反射面等对信号的影响，还应该考虑到相邻频道之间的干涉。

无线网的故障排查更为复杂，需要做频道分析，观察是否是频道干涉造成丢包等问题。

发现了一个宝藏博主，https://www.aneasystone.com/archives/2016/08/wireless-analysis-one-monitoring.html，是一位理论基础扎实又爱自己动手的博主。除了无线网络安全，博主对其它内容也有研究。

原书中讲解了windows下的无线包嗅探（需要借助usb设备airpcap，因为windows的nic（网络接口控制器）驱动一般不允许切换到monitor模式，即使nic本身支持也不行）和linux下的无线包嗅探（只要本机nic支持monitor模式，切换即可）。操作细节可以看原书和上面的博主。

无线包和有线包的区别在于，无线包的数据链路层有一个802.11头。
802.11有三种包。

management 在数据链路层建立主机间的连接
比如authentication、association、beacon
control 传输控制
比如rts request-to-send，cts clear-to-send
data 包含实际数据的包
只有data类型的包能从无线网进入有线网

以beacon包为例，其80211头中包括beacon interval、WAP（无线接入点）的SSID、WAP的设备类型、所在频道等信息。
wireshark抓到的无线包能提供的其它比较重要的参数如RSSI (received signal strength indication), TX rate （传输速率）。

无线网抓包相比有线网更不容易过滤，因为对于无线网来说，整个空气中就十几个频道，监听一个频道就会监听整个频道上的所有信息。而有线网可以轻松指定过滤会话双方。

关于SSID和BSSID：
举个例子，一家公司面积比较大，安装了若干台无线接入点（AP或者无线路由器），公司员工只需要知道一个SSID就可以在公司范围内任意地方接入无线网络。BSSID其实就是每个无线接入点的MAC地址。当员工在公司内部移动的时候，SSID是不变的。但BSSID随着你切换到不同的无线接入点，是在不停变化的。(https://www.zhihu.com/question/24362037/answer/36048064)
在很多情况下，可以将BSSID理解为WAP的MAC。

过滤时可以指定BSSID、包类型等。

WEP，wired equivalent privacy
WPA，Wi-Fi protected access
此外还有WPA2。

WEP的过程（一次问答就出结果）：

WAP广播一个challenge text
如果客户端想接入，就用密钥去解密这个challenge text，并回传
WAP检查内容是否正确，如果正确，说明客户端知道WEP KEY，就允许接入，返回的包中的status code为0x0000，表示成功。

WPA的过程（成功需要两次问答，失败需要更多次）：

WAP广播beacon，表示自己支持WPA
WPA握手

第十部分：工具推荐 & 学习资源推荐

工具推荐

tcpdump & windump ：前者可以配合sed（插删查替）和awk（正则、类excel）使用，后者是windows版。

cain & abel ：工具集。用途之一是arp缓存下毒。

scapy：用于包伪造的python库。

netdude：linux下的包伪造和包编辑，有GUI。

colasoft packet builder：windows下的包伪造和包编辑，有GUI。

cloudshark：在线分享抓到的包。

pcapr：在线分享各种协议的demo抓包。

networkMiner：主要用于取证，擅长解析PCAP文件

ngrep：用于在PCAP文件中搜索，适用于过滤器太过复杂甚至做不到的情况。

libpcap：用于包分析的c/c++库，wireshark和tcpdump都有借用其内容。

hping：包伪造、包编辑、包发送。

domain dossier：可以用于查询域名/ip的注册信息。

学习资源推荐

wireshark 官网：上有官方文档和源码

SANS Security Intrusion Detection In-Depth Course：作者东家的课程

http://www.chrissanders.org/ ：作者的博客

http://www.packetstan.com/ ：作者力荐的博客

http://www.wiresharktraining.com/ ：作者推荐的wireshark布道人

http://www.iana.org/ ：查1-1023端口号，查RFC

TCP/IP illustrated by Richard Stevens, tcp/ip bible

The TCP/IP guide by Charles Kozierok, great for visual learner

你可能感兴趣的:(读书,网络)

讯飞智作 AI 配音技术浅析（一）爱研究的小牛 AIGC—技术综述 AIGC—概述 AIGC—音频人工智能 AIGC 机器学习深度学习
一、核心技术讯飞智作AI配音技术作为科大讯飞在人工智能领域的重要成果，融合了多项前沿技术，为用户提供了高质量的语音合成服务。其核心技术主要涵盖以下几个方面：1.深度学习与神经网络讯飞智作AI配音技术以深度学习为核心驱动力，通过以下关键模型实现语音合成：Tacotron模型：该模型采用端到端的编码器-解码器架构，将输入文本直接转换为梅尔频谱（Mel-spectrogram），再通过声码器生成语音信号
在WSL2的Ubuntu中安装和使用Docker/Podman baiyu33 ubuntu docker podman
在WSL2的Ubuntu中安装和使用Docker/Podman0.目的当网络环境良好（例如在公司，能直接访问Google等）时，Docker/Podman安装和使用不是问题。当网络环境不佳（例如在家里），要把WSL2的Ubuntu安装好Docker，并顺利拉取Docker/Podman镜像，并且运行的镜像实例也需要把网络问题搞定，我踩了5个坑，记录如下。我使用WSL2，Ubuntu22.04。1.
kubernetes建立容器以及可视化界面集群管理 weixin_53682254 IPV6在容器云中的部署 kubernetes ubuntu 容器
前言本文主要讲述在kubernetes上基于ipv4、ipv6双栈集群建立容器以及可视化界面的集群管理。本来我打算不用双栈节点部署pod，但是建立之后，发现我所使用的cni似乎不支持（我使用的是calico）纯ipv6的建立，使用如下命令查看时会发现一直处于ContainerCreating状态，可能由于该网络插件不支持的关系，之后的实验我将尝试使用各种不同的网络插件，查看它们的效果以及是否支持。
生成树生成森林c语言中文网,生成树协议（STP）基本知识及实验（使用eNSP）飞翔的十号生成树生成森林c语言中文网
1、基本知识--摘至《网络之路--交换专题》(1)生成树的作用：在链路层消除环路上可能出现的广播风暴。(2)生成树的工作由三部分组成：选举过程、拓扑计算、端口行为确定。选举过程：在二层网络中选举一个网桥作为根桥，用于指挥整网设备协同工作。根桥只是负责统一计算的规则。根桥统一网络中所有网桥的行为准则的原理：通过在某个恰当位置阻塞端口来阻止环路的发生。从一台网桥的角度来说，它通过这样的法则进行判断，如
网络爬虫爬取动态网页数据 db_sqy_2012 爬虫
目录一、导学与指南豆瓣单页分析豆瓣多页输出二、理论学习1.抓取动态网页的技术2.Selenium和WebDriver的安装与配置3.Selenium的基本使用三、小结一、导学与指南豆瓣单页分析importjsonimportrequests#基础URL不顶事了url_base="https://movie.douban.com/typerank?type_name=%E5%89%A7%E6%83%
C#异步编程幽兰的天空 C#编程 c#开发语言
异步编程（AsynchronousProgramming）是一种编程范式，旨在提高程序的响应性和性能，特别是在I/O操作（如文件读取、网络请求等）和高延迟操作中。以下是对C#中异步编程的详细解释。1.为什么使用异步编程？在传统的同步编程中，当程序需要执行I/O操作时，线程会被阻塞，直到操作完成。这样的方式导致应用程序面临响应变慢或无响应的问题，尤其是在进行网络请求或处理大文件时。异步编程通过在等待
61.异步编程1 C#例子 WPF例子军训猫猫头 c#wpf 开发语言
和普通的任务绑定不太相同的部分如下：publicMainWindowViewModel(){FetchUserInfoCommand=newRelayCommand(async(param)=>awaitFetchUserInfoAsync());}privateasyncTaskFetchUserInfoAsync(){//模拟异步操作，比如网络请求awaitTask.Delay(2000);/
【Effective Objective-C 2.0读书笔记】第二章：对象、消息、运行期 freeWayWalker Objective C notes objective-c ios
在Objective-C等面向对象语言中，“对象”是基本构造单元，开发者可以通过对象来存储并传递数据。在对象之间传递数据并执行任务的过程即为“消息传递”。当应用程序运行起来之后，为其提供相关支持的代码叫做“Objective-C运行期环境”（Objective-Cruntime），它提供了一些使得对象之间能够传递消息的重要函数，并且包含创建类实例所用的全部逻辑。第6条：理解”属性”这一概念属性可以
Effective Objective-C 2.0 读书笔记 chidu8866 内存管理移动开发 c/c++
EffectiveObjective-C2.0编写高质量iOS与OSX代码的52个有效方法第1章熟悉Objective-C第1条：了解Objective-C语言的起源第2条：在类的头文件中尽量少引入其他头文件需要引入许多用不到的内容，增加编译时间循环引用，使用import不会像include那样发生编译死循环，但是会导致两个类中有一个类无法被正确编译第3条：多用字面量好处缩减代码长度，更易读使用下
简述Caffe、TensorFlow、TensorFlow Lite、ONNX、DarkNet、PyTorch 等模型科学的发展-只不过是读大自然写的代码断纱检测 caffe tensorflow pytorch
以下是对Caffe、TensorFlow、TensorFlowLite、ONNX、DarkNet和PyTorch等模型的简述：Caffe：Caffe（ConvolutionArchitectureForFeatureExtraction）是一个用于特征抽取的卷积框架，它是一个清晰、可读性高且快速的深度学习框架。Caffe由加州伯克利大学的贾扬清开发，起初是一个用于深度卷积网络的Python框架（无
超实用的Python深度学习教程 - 基于TensorFlow和Keras框架（含实例及完整代码） AI_DL_CODE 人工智能 python 深度学习 tensorflow
一、深度学习概述（一）深度学习的定义与发展历程深度学习在当今的科技领域占据着极为重要的地位。它是人工智能的一个重要分支，其定义为通过构建具有很多层的神经网络模型，让计算机自动从大量数据中学习复杂模式的一种技术。深度学习的发展历程可谓波澜壮阔，早期它源于对人工神经网络的研究，从简单的感知机模型开始。在发展初期，由于计算资源的限制以及数据量的不足等因素，发展较为缓慢。然而，随着计算机技术的飞速发展，尤
深入浅出：Node.js高级重试机制前端
在分布式系统中，优雅地处理异常是构建可靠应用程序的关键。无论是网络抖动、服务暂时不可用，还是数据库连接超时，这些短暂的故障都可能让系统陷入混乱。而重试模式，作为一种经典的设计模式，正是解决这些问题的利器。今天，我们将深入探讨如何在Node.js中实现高级重试机制，并分享一些实用的策略和最佳实践。什么是重试模式？重试模式是一种用于提高系统稳定性的设计模式。它的核心思想是：在面对短暂的故障时，不要轻易
读人工智能时代与人类未来笔记11地缘躺柒读人工智能时代与人类未来人工智能笔记百度机器学习 GPT-3 人类
1.网络平台和地缘zz1.1.新兴的网络平台地缘zz学构成了国际战略的一个重要的新方面，而zf并不是唯一的参与者1.2.本国的经济和社会生活的各个方面竟然要在由其他潜在竞争gj设计的人工智能所驱动的网络平台上展开，其隐含意义令人不安1.3.米国和东大的全国性网络平台能够从一个大洲级别的地理规模起步，让它们的公司能够更容易获得所需投资，以便继续扩展至其他语言地区1.4.一个社会创造的人工智能赋能网络
nc命令查看远程端口通不通(Mac/Linux） fuqying macos linux 运维
nc命令-查验远程端口查看远程服务器端口是否开放,可通过nc命令nc-zv端口开放,succeeded!端口未开放,Connectionrefused扩展:nc命令可用来做网络调试、文件传输、端口扫描、网络代理、监听网络数据语法:nc[选项]主机名端口号命令选项:-l:监听模式,用于创建服务器端监听端口-p:指定源端口-s:指定源IP地址-w:设置超时时间-u:使用UDP协议-v:显示详细信息-z
Docker入门 m0_59227243 docker java 容器
目录第一章Docker安装与卸载docker安装docker卸载第二章Docker常用命令第三章es、nginx、tomcat部署（1）nginx部署（2）tomcat部署（3）es部署可视化commit镜像第四章DockerFileCMD与ENTRYPOINT的区别实验第五章容器数据卷MySQL数据持久化具名挂载与匿名挂载DockerFile挂载数据卷容器第六章镜像发布第七章Docker网络li
2025年美赛数学建模2025 MCM Problem A: Testing Time: The Constant Wear On Stairs A题测试时间：楼梯上的持续磨损代码解析 2025年数学建模美赛 2025年美赛MCM/ICM 数学建模 2025年数学建模美赛 2025数学建模美赛 A题 2025 楼梯上的持续磨损 matlab代码
目录Python1.数据预处理与特征工程数据标准化与特征构建2.行进方向偏好分析深度神经网络（DNN）用于方向性分析3.多人同时使用分析卷积神经网络（CNN）用于磨损模式识别4.时间序列分析LSTM模型用于时间序列预测matlab代码Python我们将采用更多的机器学习和深度学习技术，例如图像处理、深度神经网络（DNN）、卷积神经网络（CNN）等，并结合不同的算法进行更深入的分析。1.数据预处理与
Llama大型语言模型原理详解摆烂大大王 llama llama 语言模型人工智能
Llama大型语言模型是一种基于深度学习的自然语言处理模型，它在文本生成、问答、摘要等多种NLP任务中展现出强大的性能。本文将详细解析Llama模型的原理，包括其结构、训练过程以及工作机制，帮助读者深入理解这一先进的模型。一、模型结构Llama模型采用了一种基于Transformer的架构，这是一种由多个自注意力机制和前馈神经网络组成的深度神经网络结构。Transformer架构通过自注意力机制捕
PyTorch 快速入门無量空所深度学习机器学习 pytorch 开源
我们将通过一个简单的示例，快速了解如何使用PyTorch进行机器学习任务。PyTorch是一个开源的机器学习库，它提供了丰富的工具和库，帮助我们轻松地构建、训练和测试神经网络模型。以下是本教程的主要内容：一、数据处理PyTorch提供了两个基本的数据处理工具：torch.utils.data.DataLoader和torch.utils.data.Dataset。Dataset用于存储样本及其对应
WPF的异步编程：如何处理UI线程的长时间操作 Singe.Chen wpf ui mvvm c#
WPF的异步编程：如何处理UI线程的长时间操作目录异步编程概述UI线程和后台线程异步编程的基本概念在WPF中使用异步编程实际示例：异步操作总结异步编程概述在WPF应用程序中，UI线程负责处理用户界面的所有更新。如果在UI线程中执行长时间的操作，例如网络请求或复杂的计算，应用程序可能会变得无响应。异步编程可以将这些长时间操作转移到后台线程，从而保持UI线程的流畅性和响应性。1.1异步编程的重要性异步
Linux 内核系统架构 DecentX linux 系统架构 arm开发
Linux内核是一个复杂且高度模块化的系统，负责操作硬件资源、管理进程和内存、提供网络服务、执行文件系统操作、进行设备驱动程序的管理等。它为用户空间提供了一个抽象层，并为应用程序提供了底层服务。本文将深入探讨Linux内核的系统架构，包括其主要组件和功能模块。1.Linux内核架构概览Linux内核的架构可以从功能上划分为多个层次，主要包括：硬件抽象层（HardwareAbstractionLay
linux asio网络编程理论及实现辣椒卷二王网络 boost/asio 网络编程并发编程
最近在B站看了恋恋风辰大佬的asio网络编程，质量非常高。在本章中将对ASIO异步网络编程的整体及一些实现细节进行完整的梳理，用于复习与分享。大佬的博客：恋恋风辰官方博客Preactor/Reactor模式在网络编程中，通常根据事件处理的触发时机和处理逻辑的分工可以分为reactor模式和preactor模式。reator是非阻塞同步网络模式,preactor是异步网络模式。阻塞I/O我们知道re
Docker 深度解析：从入门到精通杰哥的编程世界 javaee docker 容器运维
引言在当今的软件开发领域，容器化技术已经成为一种趋势。Docker作为容器化技术的代表，以其轻量级、可移植性和易用性，被广泛应用于各种场景。本文将从Docker的基本概念入手，详细介绍Docker的安装、基本操作、网络配置、数据存储、镜像管理以及一些高级应用。Docker简介Docker是一个开源的应用容器引擎，它允许开发者将应用及其依赖环境打包到一个可移植的容器中。Docker使用Linux容器
Cisco NX-OS ACI 16.1(1f)F - 适用于 ACI 模式下的 Nexus 9000 系列交换机系统软件 cisco
CiscoNX-OSSystemSoftware-ACI16.1(1f)F适用于ACI模式下的CiscoNexus9000系列交换机系统软件请访问原文链接：https://sysin.org/blog/cisco-aci-16/查看最新版。原创作品，转载请保留出处。作者主页：sysin.orgCiscoNX-OS网络操作系统软件CiscoNX-OS操作系统助力网络紧跟业务发展步伐。NX-OS网络操
2025年：网络安全犯罪活动发展新趋势网安加社区网络安全网络风险网络犯罪
2024年，网络空间经历了一场前所未有的动荡，威胁行为者的活动频繁且多变，这一系列事件为2025年的网络安全形势蒙上了一层阴影，预示着挑战依旧严峻。为了深入了解并有效应对勒索软件及其他网络犯罪活动的新趋势，我们与业界领先的安全专家进行了交流探讨，以期帮助企业组织全面认知可能面临的风险，并据此制定出切实有效的防御策略。勒索软件生态系统的持续扩张勒索软件生态系统正以前所未有的速度发展，不断适应并规避防
2025年企业网络安全：风险预测与应对策略网安加社区网络安全网络风险企业安全
据预测，到2025年，网络犯罪可能给全球经济带来每年高达10.5万亿美元的损失。这一个惊人的数字，为各行各业敲响了警钟。随着网络威胁日益复杂多变，企业要保持领先地位，就必须时刻保持警惕，勇于创新，采取积极主动的防御策略。那么，2025年的企业网络安全领域将面临哪些挑战？企业又该如何做好准备？接下来，我们一同深入探讨企业网络安全的发展趋势与应对策略。2025年企业网络安全风险如今，企业的网络安全已不
k8s和ipvs、lvs、ipvsadm，iptables，底层梳理，具体是如何实现的技术服务于生态 kubernetes 容器云原生
计算节点的功能：提供容器运行的环境kube-proxy的主要功能：术业有专攻，kube-proxy的主要功能可以概括为4个字网络规则那么kube-proxy自己其实是个daemonset控制器跑的每个节点上都有个的pod它负责网络规则其实呢它还是个小领导它不直接去搞网络规则而是告诉别人，网络规则要怎么搞你来搞告诉谁？1.14版本之前是iptables1.14版本之后是ipvsiptables是个命
零碎的知识点（十二）：卷积神经网络CNN通道数的理解！墨绿色的摆渡人零碎知识点 cnn 深度学习神经网络
卷积神经网络CNN通道数的理解！通道数的核心概念解析1.通道数的本质2.单张灰度图的处理示例：3.批量输入的处理通道与批次的关系：4.RGB三通道输入的处理计算过程：示例：5.通道数的实际意义6.可视化理解(1)单通道输入（灰度图）的过滤器(2)三通道输入（RGB）的过滤器总结通道数的核心概念解析1.通道数的本质在卷积神经网络中，通道数（Channels）表示不同过滤器的数量。每个通道对应一个独立
神经网络|(七)概率论基础知识-贝叶斯公式西猫雷婶概率论人工智能概率论
【1】引言前序我们已经了解了一些基础知识。古典概型：有限个元素参与抽样，每个元素被抽样的概率相等。条件概率：在某条件已经达成的前提下，新事件发生的概率。实际计算的时候，应注意区分，如果是计算综合概率，比如A已经发生时，B发生的概率，其实计算的目标是P(AB)。条件概率公式的通用表达式为P(B|A)=P(AB)/P(A)，乘法表达式为P(AB)=P(B|A)P(A)全概率公式：全概率公式综合了所有条
斯坦福吴恩达-深度学习和机器学习全套视频+课件！ Alexquyun 人工智能机器学习深度学习 python
这些课程专为已有一定基础（基本的编程知识，熟悉Python、对机器学习有基本了解），想要尝试进入人工智能领域的计算机专业人士准备。介绍显示：“深度学习是科技业最热门的技能之一，本课程将帮你掌握深度学习。”学生将可以学习到深度学习的基础，学会构建神经网络，并用在包括吴恩达本人在内的多位业界顶尖专家指导下创建自己的机器学习项目。DeepLearningSpecialization对卷积神经网络(CNN
Python从0到100（四十九）：数据库设计及Django ORM使用是Dream呀 python 数据库 django
前言：零基础学Python：Python从0到100最新最全教程。想做这件事情很久了，这次我更新了自己所写过的所有博客，汇集成了Python从0到100，共一百节课，帮助大家一个月时间里从零基础到学习Python基础语法、Python爬虫、Web开发、计算机视觉、机器学习、神经网络以及人工智能相关知识，成为学习学习和学业的先行者！欢迎大家订阅专栏：零基础学Python：Python从0到100最新
继之前的线程循环加到窗口中运行 3213213333332132 java thread JFrame JPanel
之前写了有关java线程的循环执行和结束，因为想制作成exe文件，想把执行的效果加到窗口上，所以就结合了JFrame和JPanel写了这个程序，这里直接贴出代码，在窗口上运行的效果下面有附图。 package thread; import java.awt.Graphics; import java.text.SimpleDateFormat; import java.util
linux 常用命令 BlueSkator linux 命令
1.grep 相信这个命令可以说是大家最常用的命令之一了。尤其是查询生产环境的日志，这个命令绝对是必不可少的。但之前总是习惯于使用（grep -n 关键字文件名）查出关键字以及该关键字所在的行数，然后再用（sed -n '100,200p' 文件名），去查出该关键字之后的日志内容。但其实还有更简便的办法，就是用（grep -B n、-A n、-C n 关键
php heredoc原文档和nowdoc语法 dcj3sjt126com PHP heredoc nowdoc
<!doctype html> <html lang="en"> <head> <meta charset="utf-8"> <title>Current To-Do List</title> </head> <body> <?
overflow的属性周华华 JavaScript
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml&q
《我所了解的Java》——总体目录 g21121 java
准备用一年左右时间写一个系列的文章《我所了解的Java》，目录及内容会不断完善及调整。在编写相关内容时难免出现笔误、代码无法执行、名词理解错误等，请大家及时指出，我会第一时间更正。 &n
[简单]docx4j常用方法小结 53873039oycg docx
本代码基于docx4j-3.2.0，在office word 2007上测试通过。代码如下: import java.io.File; import java.io.FileInputStream; import ja
Spring配置学习云端月影 spring配置
首先来看一个标准的Spring配置文件 applicationContext.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi=&q
Java新手入门的30个基本概念三 aijuans java 新手 java 入门
17.Java中的每一个类都是从Object类扩展而来的。　　18.object类中的equal和toString方法。　　equal用于测试一个对象是否同另一个对象相等。　　toString返回一个代表该对象的字符串,几乎每一个类都会重载该方法,以便返回当前状态的正确表示.(toString 方法是一个很重要的方法)　　 19.通用编程:任何类类型的所有值都可以同object类性的变量来代替。　
《2008 IBM Rational 软件开发高峰论坛会议》小记 antonyup_2006 软件测试敏捷开发项目管理 IBM 活动
我一直想写些总结,用于交流和备忘,然都没提笔,今以一篇参加活动的感受小记开个头,呵呵! 其实参加《2008 IBM Rational 软件开发高峰论坛会议》是9月4号,那天刚好调休.但接着项目颇为忙,所以今天在中秋佳节的假期里整理了下. 参加这次活动是一个朋友给的一个邀请书,才知道有这样的一个活动,虽然现在项目暂时没用到IBM的解决方案,但觉的参与这样一个活动可以拓宽下视野和相关知识.
PL/SQL的过程编程,异常,声明变量,PL/SQL块百合不是茶 PL/SQL的过程编程异常 PL/SQL块声明变量
PL/SQL; 过程; 符号; 变量; PL/SQL块; 输出; 异常; PL/SQL 是过程语言(Procedural Language)与结构化查询语言(SQL)结合而成的编程语言PL/SQL 是对 SQL 的扩展,sql的执行时每次都要写操作
Mockito(三)--完整功能介绍 bijian1013 持续集成 mockito 单元测试
mockito官网：http://code.google.com/p/mockito/，打开documentation可以看到官方最新的文档资料。一.使用mockito验证行为 //首先要import Mockito import static org.mockito.Mockito.*; //mo
精通Oracle10编程SQL(8)使用复合数据类型 bijian1013 oracle 数据库 plsql
/* *使用复合数据类型 */ --PL/SQL记录 --定义PL/SQL记录 --自定义PL/SQL记录 DECLARE TYPE emp_record_type IS RECORD( name emp.ename%TYPE, salary emp.sal%TYPE, dno emp.deptno%TYPE ); emp_
【Linux常用命令一】grep命令 bit1129 Linux常用命令
grep命令格式 grep [option] pattern [file-list] grep命令用于在指定的文件(一个或者多个,file-list)中查找包含模式串(pattern)的行,[option]用于控制grep命令的查找方式。 pattern可以是普通字符串，也可以是正则表达式，当查找的字符串包含正则表达式字符或者特
mybatis3入门学习笔记白糖_ sql ibatis qq jdbc 配置管理
MyBatis 的前身就是iBatis，是一个数据持久层(ORM)框架。 MyBatis 是支持普通 SQL 查询，存储过程和高级映射的优秀持久层框架。MyBatis对JDBC进行了一次很浅的封装。以前也学过iBatis，因为MyBatis是iBatis的升级版本，最初以为改动应该不大，实际结果是MyBatis对配置文件进行了一些大的改动，使整个框架更加方便人性化。
Linux 命令神器：lsof 入门 ronin47 lsof
lsof是系统管理/安全的尤伯工具。我大多数时候用它来从系统获得与网络连接相关的信息，但那只是这个强大而又鲜为人知的应用的第一步。将这个工具称之为lsof真实名副其实，因为它是指“列出打开文件（lists openfiles）”。而有一点要切记，在Unix中一切（包括网络套接口）都是文件。有趣的是，lsof也是有着最多
java实现两个大数相加，可能存在溢出。 bylijinnan java实现
import java.math.BigInteger; import java.util.regex.Matcher; import java.util.regex.Pattern; public class BigIntegerAddition { /** * 题目：java实现两个大数相加，可能存在溢出。 * 如123456789 + 987654321
Kettle学习资料分享，附大神用Kettle的一套流程完成对整个数据库迁移方法 Kai_Ge Kettle
Kettle学习资料分享 Kettle 3.2 使用说明书目录概述..........................................................................................................................................7 1.Kettle 资源库管
[货币与金融]钢之炼金术士 comsci 金融
自古以来,都有一些人在从事炼金术的工作.........但是很少有成功的那么随着人类在理论物理和工程物理上面取得的一些突破性进展...... 炼金术这个古老
Toast原来也可以多样化 dai_lm android toast
Style 1：默认 Toast def = Toast.makeText(this, "default", Toast.LENGTH_SHORT); def.show(); Style 2：顶部显示 Toast top = Toast.makeText(this, "top", Toast.LENGTH_SHORT); t
java数据计算的几种解决方法3 datamachine java hadoop ibatis r-langue r
4、iBatis 简单敏捷因此强大的数据计算层。和Hibernate不同，它鼓励写SQL，所以学习成本最低。同时它用最小的代价实现了计算脚本和JAVA代码的解耦，只用20%的代价就实现了hibernate 80%的功能,没实现的20%是计算脚本和数据库的解耦。复杂计算环境是它的弱项，比如：分布式计算、复杂计算、非数据
向网页中插入透明Flash的方法和技巧 dcj3sjt126com html Web Flash
将 Flash 作品插入网页的时候，我们有时候会需要将它设为透明，有时候我们需要在Flash的背面插入一些漂亮的图片，搭配出漂亮的效果……下面我们介绍一些将Flash插入网页中的一些透明的设置技巧。　　一、Swf透明、无坐标控制　　首先教大家最简单的插入Flash的代码，透明，无坐标控制：　　注意wmode="transparent"是控制Flash是否透明
ios UICollectionView的使用 dcj3sjt126com
UICollectionView的使用有两种方法，一种是继承UICollectionViewController，这个Controller会自带一个UICollectionView；另外一种是作为一个视图放在普通的UIViewController里面。个人更喜欢第二种。下面采用第二种方式简单介绍一下UICollectionView的使用。 1.UIViewController实现委托，代码如
Eos平台java公共逻辑蕃薯耀 Eos平台java公共逻辑 Eos平台 java公共逻辑
Eos平台java公共逻辑 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 蕃薯耀 2015年6月1日 17:20:4
SpringMVC4零配置--Web上下文配置【MvcConfig】 hanqunfeng springmvc4
与SpringSecurity的配置类似，spring同样为我们提供了一个实现类WebMvcConfigurationSupport和一个注解@EnableWebMvc以帮助我们减少bean的声明。 applicationContext-MvcConfig.xml  <
解决ie和其他浏览器poi下载excel文件名乱码 jackyrong Excel
使用poi,做传统的excel导出，然后想在浏览器中，让用户选择另存为，保存用户下载的xls文件，这个时候，可能的是在ie下出现乱码（ie,9,10,11),但在firefox,chrome下没乱码，因此必须综合判断，编写一个工具类： /** * * @Title: pro
挥洒泪水的青春 lampcy 编程生活程序员
2015年2月28日，我辞职了，离开了相处一年的触控，转过身--挥洒掉泪水，毅然来到了兄弟连，背负着许多的不解、质疑——”你一个零基础、脑子又不聪明的人，还敢跨行业，选择Unity3D？“，”真是不自量力••••••“，”真是初生牛犊不怕虎•••••“，••••••我只是淡淡一笑，拎着行李----坐上了通向挥洒泪水的青春之地——兄弟连！这就是我青春的分割线，不后悔，只会去用泪水浇灌——已经来到
稳增长之中国股市两点意见-----严控做空，建立涨跌停版停牌重组机制 nannan408
对于股市，我们国家的监管还是有点拼的，但始终拼不过飞流直下的恐慌，为什么呢？笔者首先支持股市的监管。对于股市越管越荡的现象，笔者认为首先是做空力量超过了股市自身的升力，并且对于跌停停牌重组的快速反应还没建立好，上市公司对于股价下跌没有很好的利好支撑。我们来看美国和香港是怎么应对股灾的。美国是靠禁止重要股票做空，在
动态设置iframe高度(iframe高度自适应) Rainbow702 JavaScript iframe contentDocument 高度自适应局部刷新
如果需要对画面中的部分区域作局部刷新，大家可能都会想到使用ajax。但有些情况下，须使用在页面中嵌入一个iframe来作局部刷新。对于使用iframe的情况，发现有一个问题，就是iframe中的页面的高度可能会很高，但是外面页面并不会被iframe内部页面给撑开，如下面的结构： <div id="content"> <div id=&quo
用Rapael做图表 tntxia rap
function drawReport(paper,attr,data){ var width = attr.width; var height = attr.height; var max = 0; &nbs
HTML5 bootstrap2网页兼容（支持IE10以下） xiaoluode html5 bootstrap
<!DOCTYPE html> <html> <head lang="zh-CN"> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge">