以太坊foo
㈠ [高分懸賞]wireshark捕捉阿里旺旺數據包
實時捕捉數據包時Wireshar的特色之一
Wiershark捕捉引擎具備以下特點
支持多種網路介面的捕捉(乙太網,令牌環網,ATM...)
支持多種機制觸發停止捕捉,例如:捕捉文件的大小,捕捉持續時間,捕捉到包的數量...
捕捉時同時顯示包解碼詳情
設置過濾,減少捕捉到包的容量。見第 4.8 節 「捕捉時過濾」
長時間捕捉時,可以設置生成多個文件。對於特別長時間的捕捉,可以設置捕捉文件大小罰值,設置僅保留最後的N個文件等手段。見第 4.6 節 「捕捉文件格式、模式設置」
Wireshark捕捉引擎在以下幾個方面尚有不足
從多個網路介面同時實時捕捉,(但是您可以開始多個應用程序實體,捕捉後進行文件合並)
根據捕捉到的數據停止捕捉(或其他操作)
4.2. 准備工作
第一次設置Wireshark捕捉包可能會遇到一些小麻煩
這里有一些常見需要注意的地方
你必須擁有root/Administrator特權以開始捕捉[12]
必須選擇正確的網路介面捕捉數據
如果您想捕捉某處的通信,你必須作出決定:在什麼地方可以捕捉到
……以及許多
如果你碰到設置問題,建議看看前面的那個向導,或許會有所幫助
4.3. 開始捕捉
可以使用下任一方式開始捕捉包
使用打開捕捉介面對話框,瀏覽可用的本地網路介面,見圖 4.1 「"Capture Interfaces"捕捉介面對話框」,
選擇您需要進行捕捉的介面啟動捕捉
你也可以使用"捕捉選項"按鈕啟動對話框開始捕捉,見圖 4.2 「"Capture Option/捕捉選項"對話框」
如果您前次捕捉時的設置和現在的要求一樣,您可以點擊"開始捕捉"按鈕或者是菜單項立即開始本次捕捉。
如果你已經知道捕捉介面的名稱,可以使用如下命令從命令行開始捕捉:
wireshark -i eth0 -k
上述命令會從eht0介面開始捕捉,有關命令行的介紹參見第 9.2 節 「從命令行啟動Wireshark」
4.4. 捕捉介面對話框
如果您從捕捉菜單選擇"Interface...",將會彈出如圖 4.1 「"Capture Interfaces"捕捉介面對話框」所示的對話框
圖 4.1. "Capture Interfaces"捕捉介面對話框
描述
從操作系統獲取的介面信息
IP
Wireshark能解析的第一個IP地址,如果介面未獲得IP地址(如,不存在可用的DHCP伺服器),將會顯示"Unkow",如果有超過一個IP的,只顯示第一個(無法確定哪一個會顯示).
Packets
打開該窗口後,從此介面捕捉到的包的數目。如果一直沒有接收到包,則會顯示為灰度
Packets/s
最近一秒捕捉到包的數目。如果最近一秒沒有捕捉到包,將會是灰度顯示
Stop
停止當前運行的捕捉
Capture
從選擇的介面立即開始捕捉,使用最後一次捕捉的設置。
Options
打開該介面的捕捉選項對話框,見 第 4.5 節 「捕捉選項對話框」
Details(僅Win32系統)
打開對話框顯示介面的詳細信息
Close
關閉對話框
4.5. 捕捉選項對話框
如果您從捕捉菜單選擇"start..."按鈕(或者從主工具欄選擇對應的項目),Wireshark彈出"Capture Option/捕捉選項"對話框。如圖 4.2 「"Capture Option/捕捉選項"對話框」所示
圖 4.2. "Capture Option/捕捉選項"對話框
你可以用對話框中的如下欄位進行設置
4.5.1. 捕捉楨
Interface
該欄位指定你想用於進行捕捉的借口。一次只能使用一個介面。這是一個下拉列表,簡單點擊右側的按鈕,選擇你想要使用的介面。默認第一是支持捕捉的non-loopback(非環回)介面,如果沒有這樣的介面,第一個將是環回介面。在某些系統中,回借口不支持捕捉包(windows平台下的環回介面就不支持。)
在命令行使用-i <interface>參數可以替代該選項
IP address
表示選擇介面的IP地址。如果系統未指定IP地址,將會顯示為"unknown"
Link-layer header type
除非你有些特殊應用,盡量保持此選項默認。想了解更多詳情,見 第 4.7 節 「鏈路層包頭類型」
Buffer size: n megabyte(s)
輸入用於捕捉的緩層大小。該選項是設置寫入數據到磁碟前保留在核心緩存中捕捉數據的大小,如果你發現丟包。嘗試增大該值。
Capture packets in promiscuous mode
指定Wireshark捕捉包時,設置介面為雜收模式(有些人翻譯為混雜模式)。如果你未指定該選項,Wireshark 將只能捕捉進出你電腦的數據包(不能捕捉整個區域網段的包)[13]
Limit each packet to n bytes
指定捕捉過程中,每個包的最大位元組數。在某些地方被稱為。"snaplen".[14]如果禁止該選項,默認值為65535,這適用於大多數協議,下面是一些大多數情況下都適用的規則(這里又出現了拇指規則,第一章,系統需求時提到過。這里權且翻譯作普適而非絕對的規則))
· 如果你不確定,盡量保持默認值
· 如果你不需要包中的所有數據。例如:如果您僅需要鏈路層、IP和TCP包頭,您可能想要選擇一個較小的快照長度。這樣只需要較少的cpu佔用時間用於復制包,包需要的緩存也較少。如此在繁忙網路中捕捉時丟失的包也可能會相應少一點。
· 如果你沒有捕捉包中的所有數據(適用snpaplen截斷了包),你可能會發現有時候你想要的包中的數據部分被截斷丟棄了。或者因為缺少重要的部分,想對某些包進行重組而發現失敗。
Capture Filter
指定捕捉過濾。捕捉過濾器將會在有第 4.8 節 「捕捉時過濾」詳細介紹,默認情況下是空的。
同樣你也可以點擊捕捉按鈕,通過彈出的捕捉過濾對話框創建或選擇一個過濾器,詳見第 6.6 節 「定義,保存過濾器」
4.5.2. 捉數據幀為文件。
捕捉文件設置的使用方法的詳細介紹見第 4.6 節 「捕捉文件格式、模式設置」
File
指定將用於捕捉的文件名。該欄位默認是空白。如果保持空白,捕捉數據將會存儲在臨時文件夾。詳見第 4.6 節 「捕捉文件格式、模式設置」
你可以點擊右側的按鈕打開瀏覽窗口設置文件存儲位置
Use multiple files
如果指定條件達到臨界值,Wireshark將會自動生成一個新文件,而不是適用單獨文件。
Next file every n megabyte(s)
僅適用選中Use multiple files,如果捕捉文件容量達到指定值,將會生成切換到新文件
Next file every n minutes(s)
僅適用選中Use multiple files,如果捕捉文件持續時間達到指定值,將會切換到新文件。
Ring buffer with n files
僅適用選中Use multiple files,僅生成制定數目的文件。
Stop caputure after n file(s)
僅適用選中Use multiple files,當生成指定數目文件時,在生成下一個文件時停止捕捉(生成n個還是n+1個文件?)
4.5.3. 停止捕捉楨
... after n packet(s)
在捕捉到指定數目數據包後停止捕捉
... after n megabytes(s)
在捕捉到指定容量的數據(byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) )後停止捕捉。如果沒有適用"user multiple files",該選項將是灰色
... after n minute(s)
在達到指定時間後停止捕捉
4.5.4. 顯示楨選項
Update list of packets in real time
在包列表面板實時更新捕捉數據。如果未選定該選項,在Wireshark捕捉結束之前將不能顯示數據。如果選中該選項,Wireshark將生成兩個獨立的進程,通過捕捉進程傳輸數據給顯示進程。
Automatic scrolling in live capture
指定Wireshark在有數據進入時實時滾動包列表面板,這樣您將一直能看到最近的包。反之,則最新數據包會被放置在行末,但不會自動滾動面板。如果未設置"update list of packets in real time",該選項將是灰色不可選的。
Hide capture info dialog
選中該選項,將會隱藏捕捉信息對話框
4.5.5. 名稱解析設置
Enable MAC name resolution
設置是否讓Wireshark翻譯MAC地址為名稱,見第 7.6 節 「名稱解析」
Enable network name resolution
是否允許Wireshark對網路地址進行解析,見第 7.6 節 「名稱解析」
4.5.6. 按鈕
進行完上述設置以後,你可以點擊start按鈕進行捕捉,也可以點擊Cancel退出捕捉.
開始捕捉以後,在你收集到足夠的數據時你可以停止捕捉。見第 4.9 節 「在捕捉過程中」
4.6. 捕捉文件格式、模式設置
在 捕捉時,libpcap 捕捉引擎(linux環境下)會抓取來自網卡的包存放在(相對來說)較小的核心緩存內。這些數據由Wireshark讀取並保存到用戶指定的捕捉文件中。
保存包數據到捕捉文件時,可採用差異模式操作。
表 4.1. 捕捉文件模式選項
"File"選項
"Use multiple files"選項
"Ring buffer with n files"選項
Mode
最終文件命名方式
-
-
-
Single temporary file
etherXXXXXX (where XXXXXX 是一個獨立值)
foo.cap
-
-
Single named file
foo.cap
foo.cap
x
-
Multiple files,continuous
foo_00001_20040205110102.cap, foo_00002_20040205110102.cap, ...
foo.cap
x
x
Multiple files,ring buffer
foo_00001_20040205110102.cap, foo_00002_20040205110102.cap, ...
Single temporary file
將會創建並使用一個臨時文件(默認選項).捕捉文件結束後,該文件可以由用戶指定文件名。
Single named file
使用單獨文件,如果你想放到指定目錄,選擇此模式
Multiple files,continuous
與single name file模式類似,不同點在於,當捕捉達到多文件切換臨界條件時之一時,會創建一個新文件用於捕捉
Multiple files,ring buffer
與"multiple files continuous"模式類似,不同之處在於,創建的文件數目固定。當達到ring buffer with n值時,會替換掉第一個文件開始捕捉,如此循環往復。
該模式可以限制最大磁碟空間使用量,即使未限制捕捉數據輸入,也只能保留最後幾個捕捉數據。
4.7. 鏈路層包頭類型
在通常情況下,你不需要選擇鏈路層包頭類型。下面的段落描述了例外的情況,此時選擇包頭類型是有必要的,所以你需要知道怎麼做:
如果你在某種版本BSD操作系統下從某種802.11 設備(無線區域網設備)捕捉數據,可能需要在"802.11"和"Ethernet"中做出選擇。"Ethernet"將會導致捕捉到的包帶有偽乙太網幀頭(不知道是不是應該叫偽首部更准確些);"802.11"將會導致他們帶有802.11幀頭。如果捕捉時的應用程序不支持"802.11幀頭",你需要選擇"802.11"
如果你使用Endace DAG card(某種網路監視卡)連接到同步串口線(譯者註:E文為synchronous serial line,權且翻譯作前文吧,未接觸過此卡、未熟稔此線名稱),可能會出現"PPP over serial" 或 "Cisco HDLC"(自己google去)供選擇。根據你自己的情況選擇二者中的一個。
如果你使用Endace DAG card(同上)連接到ATM網路,將會提供"RFC 1483 IP-over-ATM"、"Sun raw ATM"供選擇。如果捕捉的通信是RFC 1483封裝IP(RFC 1483 LLC-encapsulated IP,不翻譯為妙),或者需要在不支持SunATM幀頭的應用程序下捕捉,選擇前者。反之選擇後者。
如果你在乙太網捕捉,將會提供"Ethernet"、"DOCSIS"供選擇,如果您是在Cisco Cable Modem Termination System(CMTS是思科同軸電纜終端調制解調系統?)下捕捉數據。它會將DOCSIS(同軸電纜數據服務介面)通信放置到乙太網中,供捕捉。此時需要選擇"DOCSIS",反之則反之。
4.8. 捕捉時過濾
Wireshark使用libpcap過濾語句進行捕捉過濾(what about winpcap?)。在tcpmp主頁有介紹,但這些只是過於晦澀難懂,所以這里做小幅度講解。
在Wireshark捕捉選項對話(見圖 4.2 「"Capture Option/捕捉選項"對話框」)框輸入捕捉過濾欄位。下面的語句有點類似於tcpmp捕捉過濾語言。在tcpmp主頁http://www.tcpmp.org/tcpmp_man.html可以看到tcpmp表達式選項介紹。
捕捉過濾的形式為:和取值(and/or)進行進行基本單元連接,加上可選的,高有限級的not:
[not] primitive [and|or [not] primitive ...]
例 4.1. 捕捉來自特定主機的telnet協議
tcp port 23 and host 10.0.0.5
本例捕捉來自或指向主機10.0.0.5的Telnet 通信,展示了如何用and連接兩個基本單元。另外一個例子例 4.2 「捕捉所有不是來自10.0.0.5的telnet 通信」展示如何捕捉所有不是來自10.0.0.5的telnet 通信。
例 4.2. 捕捉所有不是來自10.0.0.5的telnet 通信
tcp host 23 and not src host 10.0.0.5
此處筆者建議增加更多範例。但是並沒有添加。
一個基本單元通常是下面中的一個
[src|dst] host <host>
此基本單元允許你過濾主機ip地址或名稱。你可以優先指定src|dst關鍵詞來指定你關注的是源地址還是目標地址。如果未指定,則指定的地址出現在源地址或目標地址中的包會被抓取。
ether [src|dst] host <ehost>
此單元允許你過濾主機乙太網地址。你可以優先指定關鍵詞src|dst在關鍵詞ether和host之間,來確定你關注的是源地址還是目標地址。如果未指定,同上。
gateway host<host>
過濾通過指定host作為網關的包。這就是指那些乙太網源地址或目標地址是host,但源ip地址和目標ip地址都不是host的包
[src|dst] net <net> [{mask<mask>}|{len <len>}]
通過網路號進行過濾。你可以選擇優先指定src|dst來確定你感興趣的是源網路還是目標網路。如果兩個都沒指定。指定網路出現在源還是目標網路的都會被選擇。另外,你可以選擇子網掩碼或者CIDR(無類別域形式)。
[tcp|udp] [src|dst] port <port]
過濾tcp,udp及埠號。可以使用src|dst和tcp|udp關鍵詞來確定來自源還是目標,tcp協議還是udp協議。tcp|udp必須出現在src|dst之前。
less|greater <length>
選擇長度符合要求的包。(大於等於或小於等於)
ip|ether proto <protocol>
選擇有指定的協議在乙太網層或是ip層的包
ether|ip broadcast|multicast
選擇乙太網/ip層的廣播或多播
<expr> relop <expr>
創建一個復雜過濾表達式,來選擇包的位元組或位元組范圍符合要求的包。請參考http://www.tcpmp.org/tcpmp_man.html
4.8.1. 自動過濾遠程通信
如果Wireshark是使用遠程連接的主機運行的(例如使用SSH,X11 Window輸出,終端伺服器),遠程連接必須通過網路傳輸,會在你真正感興趣的通信中產生大量數據包(通常也是不重要的)
想要避免這種情況,wireshark可以設置為如果發現有遠程連接(通過察看指定的環境變數),自動創建一個過濾器來匹配這種連接。以避免捕捉Wireshark捕捉遠程連接通信。
下列環境變數可以進行分析
SSH——CONNECTION(ssh)
<remote IP> <remote port> <local IP> <local port>
SSH_CLIENT (ssh)
<remote IP> <remote port> <local port>
REMOTEHOST (tcsh, others?)
<remote name>
DISPLAY (x11)
[remote name]:<display num>
SESSIONNAME (terminal server)
<remote name>
4.9. 在捕捉過程中
捕捉時,會出現下面的對話框
圖 4.3. 捕捉信息對話框
上述對話框會向你顯示捕捉到包的數目,捕捉持續時間。選擇的被統計的協議無法更改(什麼鳥意思?)
4.9.1. 停止捕捉
運行中的捕捉線程可以用下列方法停止:
使用捕捉信息對話框上的"stop"按鈕停止。
使用菜單項"Capture/ Stop"
使用工具欄項" Stop"
使用快捷鍵:Ctrl+E
如果設置了觸發停止的條件,捕捉達到條件時會自動停止。
4.9.2. 重新啟動捕捉
運行中的捕捉進程可以被重新啟動。這將會移出上次捕捉的所有包。如果你捕捉到一些你不感興趣的包,你不想保留它,這個功能十分有用。
重新啟動是一項方便的功能,類似於停止捕捉後,在很短的時間內立即開始捕捉。以下兩種方式可以實現重新啟動捕捉:
使用菜單項"Capture/ Restart"
使用工具欄項" Restart"
[12] 記得在Windows安裝那一節層提到如果作為服務啟動可以避免非管理員無法進行捕捉,不知道二者能否相互印證。
[13] 網卡在區域網內會接到很多不屬於自己的包,默認情況下,網卡會不對這些包進行處理。貌似設置為雜收模式,Wireshak會監聽所有的包,但並不作出相應。
[14] 粗略查了一下,未找到該詞的合適翻譯,多見於Winpcap的描述,如果把該單詞拆分,snap:單元,快照,len:長度,似乎就是單位長度,單元大小的意思。在看看該段下面第二個如果中提到的snapshot length,snaplen應該是二者的簡寫形式,快照長度
㈡ 怎麼鑒別psp是否被更改系統版本
在PSP的包裝盒上應該有一個電壓的標示(120V 或者 240V)在那個標示的下面因該有一個字母,那個字母就是版本號的提示。
不同字母的意思:
沒字母 = 1.5 (北美第一版PSP)
A = 1.5
B = 1.51
C = 1.52
D = 1.52
E = 1.52
F = 2.0
G = 2.01
H = 2.50
當然,如果寫的是G那麼機子就是不可降級的2.0或2.50
依次類推。
然後,PSP有「一次開機畫面」,被降級過的話,也就是被開機過,那麼一次開機畫面是不會有的了。如果入手的是第一批PSP,那JS也不可能做手腳,當時試機時,就有一次開機畫面。
你試機器的時候,不按圓圈鍵,它就不會消失,所以boss在你挑機子的時候,都會囑咐的!
但其實無所謂是原版還是升級版,都是一樣的,使用上沒有區別的。倒是翻新機要注意啊!現在的翻新機分為3種:原廠翻新, 全機翻新,半機翻新。
翻新機的製作方式即辨別方法:
原廠翻新:機器都是召回機,比如說壞點太多,光碟機問題等等,這種機器基本上沒有問題,但是此機的外包裝盒與正常機器有區別。這種機器的盒子是白色的,上面沒有任何圖畫,只有PSP 出廠編號等一些文字信息,而且包裝做工簡陋。
半機翻新:此種機器只翻新了面蓋,也就是前面板,前面板是原裝組裝不得而知,不過做工絕對與新機的做工無二方法是把前面板拆開,卸下搖桿和按鍵(這里要說一點,有的面蓋是帶燈的,有的面蓋是不帶燈的 就是電源燈那裡的透明塑料片)然後用皮老虎或其他工具吹掉灰塵再安裝。上此種翻新的機器和新機的區別在於螺絲有痕跡,後面板光圈可能有劃傷,後面板光圈貼附是否平整(這個東西都有換的了!強!)前面板與後面板接縫處結合不緊密。按鍵由於是舊機器拆下來的對光看100%有劃傷,HOME、音量、START等下方控制鍵與面板顏色不符色澤暗淡,USB介面有磨損或灰塵較多,面板內部可能有灰塵或手印(當然有的新機也有灰塵,不過灰塵數量非常少,而粒灰塵是最多的)電池艙內的兩條貼紙對光看顏色不一樣(因為現在已經有假的貼紙了,拆機必撕貼紙手法再高也會留下痕跡。所以為了掩人耳目肯定會貼假的)L R鍵有磨損,電源燈和記憶棒燈透光度低(因為有的外殼上沒有燈需要把原來的拆下來再粘上但是無論用什麼方法再粘上的燈的兩度都會不如原來高,當然殼上有燈的除外)。
全機翻新:此種機器採用的是用全套外殼為機器翻新,包括後面板光圈及按鍵、開關等等。所用的方法自然是把PSP大卸八塊然後外面的外殼全部換掉,以此達到目的。辨別方法就是看電池艙內貼紙上下是否顏色一致,螺絲有無痕跡,後面板光圈貼附是否平整,前後面板接縫處是否嚴實,屏幕上是否有灰。總之不太好鑒別。