struct pcap_pkthdr {
struct timeval ts; /* time stamp */时间戳
bpf_u_int32 caplen; /* length of portion present */在线抓到包的长度,无符号整形bpf_u_int32 len; /* length this packet (off wire) */离线包长度
};
pcap_pkthdr是.pcap文件中包的头部
1.入门使用篇
本篇讲述如何抓包
最简单的libpcap抓包程序只要有以下几句就可以了
char ebuf[PCAP_ERRBUF_SIZE];
pcap_t *pd = pcap_open_live("eth0", 68, 0, 1000, ebuf);
建立libpcap捕捉句柄,若出错,ebuf返回错误字串.ebuf可以为NULL(以后同)
struct bpf_program fcode;
pcap_compile(pd, &fcode, NULL, 1, 0);
添写过滤规则串fcode,可以为空(即第三个参数,格式在后面讲到)
pcap_setfilter(pd, &fcode);
给 pd 设置上过滤规则
pcap_loop(pd, 10, eth_printer, NULL);
主循环,开始抓包,共抓10个(由第二个参数指定),抓到包后就进入函数 eth_printer
pcap_close(pd);
结束
这个就是最简单的程序了,其中还有个不明,
在pcap_loop参数 eth_printer的类型是pcap_handler,pcap_handler定义如下:
typedef void (*pcap_handler)(u_char *, const struct pcap_pkthdr *,
const u_char *);
当然要包含
#include "pcap.h"
编译要加上 -lpcap
至于怎么得到libpcap,还有安装,我就不费话了
本文版权所有:doggy(chaujy@https://www.doczj.com/doc/9f12434424.html,) 欢迎转载
2.使用进阶篇
刚才我们对程序的要求是能编译通过,能运行成功
现在我们让这个程序实用点吧
2.1 其它几个函数介绍
这几个函数的特点是简单但无关紧要
现在我们隆重退出
char * pcap_lookupdev ( char * errbuf );
这个函数就是查找本机上的网络接口设备,我机器上就返回"eth0",
在pcap_open_live之前用,没什么意思吧,反正我是不爱用它
int pcap_lookupnet(char *, bpf_u_int32 *, bpf_u_int32 *, char *);
第一个参数就是pcap_lookupdev返回的接口名,二三参数都是32位无符号数, 分别是IP网段和掩码,最后那个参数还是ebuf
int pcap_datalink(pcap_t *);
它返回你的网络类型,如 DLT_EN10MB 就是10M以太网
让人ft氖钦庑┏A慷ㄒ宀辉趐cap.h中,在哪?自己找找吧;-)
int pcap_snapshot(pcap_t *);
返回最长抓多少字节,就是我们在pcap_open_live中第二个参数设置的
int pcap_stats(pcap_t *, struct pcap_stat *);
计数,共抓了多少过滤掉了多少,看看struct pcap_stat的定义就明白了
struct pcap_stat {
u_int ps_recv; /* number of packets received */
u_int ps_drop; /* number of packets dropped */
u_int ps_ifdrop; /* drops by interface XXX not yet supported */
};
int pcap_major_version(pcap_t *);
int pcap_minor_version(pcap_t *);
版本号,你有用么?
我的eth_printer如下
void eth_printer(u_char * user, const struct pcap_pkthdr * h, const u_char * p) {
printf("I get one packet! ");
}
简单吧 :*)
2.使用进阶篇
刚才我们对程序的要求是能编译通过,能运行成功现在我们让这个程序实用点吧
2.1 其它几个函数介绍
这几个函数的特点是简单但无关紧要
现在我们隆重退出
char * pcap_lookupdev ( char * errbuf );
这个函数就是查找本机上的网络接口设备,我机器上就返回"eth0",在pcap_open_live之前用,没什么意思吧,反正我是不爱用它
int pcap_lookupnet(char *, bpf_u_int32 *, bpf_u_int32 *, char *);
第一个参数就是pcap_lookupdev返回的接口名,二三参数都是32位无符号数,
分别是IP网段和掩码,最后那个参数还是ebuf
int pcap_datalink(pcap_t *);
它返回你的网络类型,如 DLT_EN10MB 就是10M以太网
让人ft的是这些常量定义不在pcap.h中,在哪?自己找找吧;-)
int pcap_snapshot(pcap_t *);
返回最长抓多少字节,就是我们在pcap_open_live中第二个参数设置的
int pcap_stats(pcap_t *, struct pcap_stat *);
计数,共抓了多少过滤掉了多少,看看struct pcap_stat的定义就明白了
struct pcap_stat {
u_int ps_recv; /* number of packets received */
u_int ps_drop; /* number of packets dropped */
u_int ps_ifdrop; /* drops by interface XXX not yet supported */
};
int pcap_major_version(pcap_t *);
int pcap_minor_version(pcap_t *);
版本号
2.2 现在的程序(C++)
文件名p.cxx
#ifdef __cplusplus
extern "C" {
#endif
#include
#ifdef __cplusplus
}
#endif
void printer(u_char * user, const struct pcap_pkthdr * h, const u_char * p) {
printf("I get one packet! ");
/* 哈哈,我都想喝一杯庆祝一下了! */
}
#define DEFAULT_SNAPLEN 68
/* 别问我为什么是68,我从tcpdump看来的 */
int main()
{
char ebuf[PCAP_ERRBUF_SIZE];
char *device = pcap_lookupdev(ebuf);
bpf_u_int32 localnet, netmask;
pcap_lookupnet(device, &localnet, &netmask, ebuf);
printf("%u.%u.%u.%u", localnet&0xff, localnet>>8&0xff,
localnet>>16&0xff, localnet>>24&0xff);
printf(":%d.%d.%d.%d ", netmask&0xff, netmask>>8&0xff,
netmask>>16&0xff, netmask>>24&0xff);
struct pcap_t *pd = pcap_open_live(device, DEFAULT_SNAPLEN, 0, 1000, ebuf);
if(pcap_datalink(pd) == DLT_EN10MB)
printf("10Mb以太网 ");
struct bpf_program fcode;
pcap_compile(pd, &fcode, NULL, 1, 0);
pcap_setfilter(pd, &fcode);
pcap_loop(pd, 10, printer, NULL);
struct pcap_stat stat;
pcap_stats(pd, &stat);
printf("recv %d, drop %d. ", stat.ps_recv, stat.ps_drop);
pcap_close(pd);
}
#gcc p.cxx -lpcap
#./a.out
166.111.168.0:255.255.252.0
10Mb以太网
I get one packet!
I get one packet!
I get one packet!
I get one packet!
I get one packet!
I get one packet!
I get one packet!
I get one packet!
I get one packet!
I get one packet!
recv 10, drop 0.
#
重要提示: libpcap 程序需要root权限
2.3 出错处理
象其它库一样,libpcap 也有自己的错误处理机制
基本上每个函数都有返回值,出错时返回值<0,另外有如下函数void pcap_perror(pcap_t *, char *);
char *pcap_strerror(int);
char *pcap_geterr(pcap_t *);
前两个和 perror() strerror() 用法相同,最后一个也很简单
在 pcap_t 中有一个成员存了错误字串
struct pcap {
...
char errbuf[PCAP_ERRBUF_SIZE];
};
所以......
于是我们在刚才的程序中加上错误处理
先加一个函数
#include
int err_quit(const char *fmt, ...)
{
va_list ap;
va_start(ap, fmt);
vfprintf(stderr, fmt, ap);
va_end(ap);
exit(-1);
}
之后处理每个函数的异常,在成功建立捕捉句柄pcap_t *pd前,使用ebuf参数
char *device = pcap_lookupdev(ebuf);
if(device == NULL)
err_quit("%s", ebuf);
有了句柄pd后
if(pcap_compile(pd, &fcode, NULL, 1, 0) < 0)
err_quit("%s", pcap_geterr(pd));
注意不是每个函数都是出错返回<0
pcap_datalink(pd)和pcap_snapshot(pd)等可不要这么处理
2.4 参数初步研究
前面使用各函数时,并没有具体说明每个函数的意义,现在来探讨一下
pcap_t * pcap_open_live(char *device, int snaplen, int promisc,
int to_ms, char *ebuf)
device指定设备,snaplen指定最长抓多少字节,ebuf出错信息,前面都说过
promisc指出是否设置为混杂模式(不懂?我也不懂,整个网都听还有什么安全性可言)
to_ms设置超时时间,单位milliseconds
int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
cnt为要抓的包数,pcap_loop在正常时抓cnt个包后返回,异常时返回值<0 user是要传入callback()的数据,例如我们把上面的程序修改几行
file://pcap_loop(pd, 10, printer, NULL);
pcap_loop(pd, 10, printer, (u_char*)pd);
再在printer()内加
pcap_stat stat;
pcap_stats((pcap_t*)user, &stat);
printf("recv %d, drop %d. ", stat.ps_recv, stat.ps_drop);
再编译运行后输出为
166.111.168.0:255.255.252.0
10Mb以太网
recv 1, drop 0.
recv 2, drop 0.
recv 3, drop 0.
recv 4, drop 0.
recv 5, drop 0.
recv 6, drop 0.
recv 7, drop 0.
recv 8, drop 0.
recv 9, drop 0.
recv 10, drop 0.
recv 10, drop 0.
int pcap_compile(pcap_t *p, struct bpf_program *program,
char *buf, int optimize, bpf_u_int32 mask)
该函数用于解析过滤规则串buf,填写bpf_program结构. optimize为1表示对过滤规则进行优化处理
netmask指定子网掩码
buf的格式比较复杂
int pcap_setfilter(pcap_t *handle, struct bpf_program *filter) 把pcap_compile()构造的filter设置到handle上
一、测试环境介绍 1、硬件1台6509交换机,1台3745路由器 IOS (tm) c6sup2_rp Software (c6sup2_rp-JS-M), Version 12.1(22)E6, RELEASE SOFTWARE (fc1) System image file is "disk0:c6sup22-js-mz.121-22.E6.bin" IOS (tm) 3700 Software (C3745-IS-M), Version 12.2(13)T5, RELEASE SOFTWARE (fc1) System image file is "flash:c3745-is-mz.122-13.T5.bin" 2、软件solarwinds NetFlow Traffic Analysis 3.0、 ManageEngine_NetFlowAnalyzer_7002、 二、硬件配置 1、NETFLOW配置文档。 2、6509配置 mls netflow mls flow ip destination-source mls nde sender version 5 (我们的设备只有版本5) ip flow-export source Loopback0 (如果有L0接口用其他接口也可以) ip flow-export version 5 ip flow-export destination 192.168.4.165 2055 (2055是SOLAR公司的NETFLOW端口,9996端口是manangeengine公司的端口。两个端口号都是UDP 协议) 到此配置结束通过下面命令显示配置结果 CAT6509_1#show mls nde Netflow Data Export enabled Exporting flows to 192.168.4.165 (2055) Exporting flows from 218.30.64.33 (57965) Version: 5 Include Filter not configured Exclude Filter not configured Total Netflow Data Export Packets are: 612381 packets, 0 no packets, 16537978 records Total Netflow Data Export Send Errors: IPWRITE_NO_FIB = 0
CCNA Security笔记 Cisco ASA5500(VTM)集成了PIX、VPN3000、IPS功能 硬件IPS:(4240)入侵防护系统 CSA:基于主机的IPS 功能:限制用户行为,对应用程序进行控制 ISR增强特性:(ISR1800/2800/3825/3845) 1、无线模块 2、硬件IPS模块 3、Web Cache 4、NAM(网络分析模块) Role-based CLI views配置: 1、激活AAA:aaa new-model 2、配置enable secret:enable secret huda 3、进入Root View模式R1#enable view root Password:cisco 4、配置View“test”:R1(config)#parser view test定义用户 5、R1(config-view)#secret huda定义密码 6、R1(config-view)#command exec include ping定义可使用的命令
IOS安全保护,防止恶意删除,命令配置: Router(config)secret boot-image(加密隐藏保护IOS)Router(config)secret boot-config(加密备份配置) 注意:只有Console口才能禁用和恢复。 Rommon1>bootflash:c2800nm-adventerprisek9-mz.124.15. T5.bin Secure boot-config restore flash:/secure.cfg Router#copy flash:/secure.cfg running-config Cisco IOS Login Enhancements(防止恶意猜密码,DOS攻击)配置实例: Login block-for600attempts3with60(任何人60S内密码输错3次将挂起600S),只有permit用户不受这个限制 Login delay2 Login quiet-mode access-class block.ssh.new Login on-failure trap every3 Login on-success trap Ip access-list standard block.ssh.new Permit137.78.5.5
箱庭治疗师必修之箱庭实操技能课程招生简章 您是否希望在心理咨询工作中掌握一套拿来就能用的模板? 您是否希望在心理咨询工作、心理健康工作中自由挥洒游刃有余? 您是否希望去参透一套理论深厚,变化非凡奥妙无穷的咨询技艺? 您是否希望见证到箱庭理论的实践,能够应用处理心理冲突实现自我的整合? 您是否希望能独立操作箱庭疗法来解决常见的各类问题,让周围的人们因你的箱庭疗法而获益? 【课程定位】 一站式成为箱庭治疗师的关键环节; 心理箱庭/沙盘工作,实践操作的指导书; 补充完善整个箱庭课程的操作流程、理论落地。 课程定位/种 类张日升老师箱庭初级张雯老师(张日升老师钦 点弟子)箱庭实操 张日升老师箱庭中级 课程意义带你走进箱庭世界,感受 大师风采,助你打下坚实 基础。 非常具体得教会怎么做, 箱庭疗法理论和技巧的 细化、流程化、规范化。 传授更加深奥的箱庭技巧与 理论基础,帮你打开心门, 迈入新境界。 课程定位箱庭/沙盘打基础必学课 程希望用箱庭实际操作,问 题解决的必学课程 想要深入研究咨询,应用箱 庭技艺的必学课程 课程收获了解箱庭世界的“道”, 理论学习,专业提高,实 务技术。 一套完整的箱庭技术操 作模板,系列问题解决的 参考方案。 箱庭应用报告,个案督导, 精神分析、无意识理论与箱 庭的精髓探索。
【成长之路】 箱庭实操技能课程是: 一站式成为箱庭治疗师的关键环节; 心理箱庭/沙盘工作,实践操作的指导书。 学员成为箱庭疗法治疗师可实现: 用箱庭基础理论理解与用箱庭思维表达作品; 独立完成箱庭个体咨询引导、操作、剖析、总结; 独立完成箱庭团体咨询引导、操作、剖析、总结; 解决箱庭疗法在个体咨询、学校咨询、家庭咨询的常见问题; 箱庭疗法咨询案例的总结与汇报、箱庭疗法针对不同类型问题与案例的解决方案。 学员成为优秀的箱庭疗法治疗师的关键: 理论+技艺+实战+领悟 三次课程分别可帮你实现的: 箱庭疗法初级:入门+理论+部分技艺 箱庭疗法技能:技艺+实战+应用 箱庭疗法中级:深化技艺+应用+点拨助你领悟 【课程对象】 心理咨询师;学校德育老师、心理辅导老师;医院心理医生;箱庭疗法爱好者。 箱庭疗法是学校心理健康工作重要组成部分,是心理老师获得单位认可、学校心理健康建设的重要途径。 箱庭疗法也是心理咨询中的核心技术之一,是每个咨询师都应该学习的技术。 箱庭疗法技术实操课程也会帮助医院的心理医生、爱好者切实掌握实用技术 【学员收获】 个体箱庭技艺操作流程与模板; 团体箱庭技艺操作流程与模板; 能够立竿见影得实现咨询技能操作的突破; 箱庭实施操作中常见问题的提醒、汇总、解答; 学会在咨询中恰如其分的使用不同形式的箱庭疗法开展心理辅导工作;
一个沙盘疗法治愈典型焦虑症的真实案例 紧张、心慌、如坐针毡、手心出汗……两个月前,28岁的公务员小赵一坐到办公桌前,就开始出现这些症状,尤其是看到领导时,就更加烦躁得想逃。 在宁波市心理咨询治疗中心,有一间沙盘治疗室,里面有一张长方形的桌子,桌面被刷成蓝色,四边用木条包围起来,里面装满白色的细沙。这就是沙盘。治疗室三面墙壁有三个书架,上面摆满各种各样的小物件:各种人物、动植物、武器、运输工具、房屋模型等,这些小东西,是供咨询者在沙盘里摆设用的。 最终治好小赵焦虑情绪的,是沙盘测试疗法。心理医生介绍了小赵前来治疗的整个过程 第一次:9月25日 那天小赵犹豫着推开心理咨询室的门,四下里张望了一下,才进来。 黑眼圈,暗暗的皮肤,头发干净却凌乱,身高1.75米左右的小赵看起来一点也不挺拔,弓着腰坐到我的面前。 “我最近不知怎么了,一走进办公室就眼睛发花、胸闷心慌、手心出汗……”小赵显得很不安,不停用手掌来回搓着大腿,眼神飘忽。 “领导老是叫我加班,占用我周末休息时间……”他眉头紧锁,想表达,却又不知道该怎么说,急得站起来在治疗室里焦虑地来回走。 “对不起,我坐不住,我现在浑身都不舒服。” 当时小赵给我的初步印象,是有很强的焦虑情绪,坐立不安,缺乏安全感。 他这样的情况,很适合进行沙盘治疗,这是一种非语言表达自我的方式,对引起他焦虑的事件不直接涉及,又能通过沙盘的摆放来将他的内心投射到外界。 我把小赵带到沙盘治疗室,请他自由发挥,在沙盘里摆下自己想摆的场景。(进行沙盘治疗的咨询者,第一次摆的沙盘很多时候并不能反映他的内心,可能出于对自己的保护,会带着伪装,摆放出一个很和谐美好的场景。但这并不影响我们的治疗,因为沙盘的摆放并不是“一摆定终身”的。) 小赵摆放的第一次沙盘,是一副惨烈战争场面,沙盘被篱笆隔成两边,两边放满了凶狠的猛兽、面目狰狞的男人、持枪打仗的战士和翻倒的飞机与船只。 小赵的这次摆放并没有刻意掩饰。 我尝试着问他,是不是感觉自己的生活就像是场战争。我想,假如我的判断能得到他肯定的回应,那他的情绪就会像泄洪一样倾吐出来。
沙盘疗法 一、沙盘的创立 创立者:瑞士心理学家多拉.卡尔夫 卡尔夫创立沙盘游戏,最初的创意是来源于英国作家威尔斯的:地板游戏 他将游戏的意义描述为:它不但使孩子们每天都在一起玩得很开心,而且还为他们以后的生活建立了~种广阔的、激励人心的思维模式,走向未来的人将会从幼儿园的地板上获得新的力量。 卡尔夫意识到沙盘游戏有自然治疗的特征,原型、象征和内在精神世界很容易表现出来,在一个自由、安全的氛围中表现这些客观存在可以促进整体性意象的形成。进而为自性的展现创造机会。卡拉夫进一步认为在沙盘中展示自性非常必要,因为自性是自我发展与加强的基础。当自我与自性之闯的联系建立起来后,个体在整体上就会表现得更加平衡与得体。 二、沙盘游戏疗法的理论基础 ·说到沙盘疗法的理论基础,我们得讲一个人,那就是我们熟知的人格心理学家---荣格·荣格1913年到1916年期间发现了积极想象技术在1912年与弗洛伊德分裂以后,荣格一时找不到自己的方向,内心非常混乱彷徨,他的内在情感有将他淹没的危险,他不得不去寻找一种方法来面对自己的内在情感,此时的他玩起了小时候玩的搭建游戏,在游戏中他的想象连绵不绝地涌现,一段时间以后他发现,当他设法把情感转化成意象的时候,他的内心就会感到平静和安宁。于是,他就去寻找那隐藏于情感之中的意象。从他自己的搭建游戏,荣格也体验到象征性游戏的创造性和治愈的力量,这个过程可以将大量能量加以释放,而且获得的洞见也让他找到新的方向。这种想象经历最终重塑了他的生活,当他从自己的内在世界走出来,他已做好准备去引领自己所开创的心理学新流派。 ·沙盘疗法是以荣格的分析心理学为理论基础的,尤其是他的无意识理论的他发明的积极想象技术。 (一)、心理分析的原理与目标 ·现在的心理学家意识到,我们的心理治疗目前只停留在一个阶段,就是把负能量的人改变成零,而在他处于零的阶段时,我们就以为达到了目的,因此,我认为,那么多来访者在治愈后再次复发,可能就是我们局限治病,片面地针对症状的这个原因。 -------------------负----------------------0----------------------------正------------------------------------ ·分析心理学关注的是人类灵魂的真正治疗,而不仅仅局限于病症的治疗。 ·荣格认为每个人的灵魂深处都隐藏着一切未来发展的种子,心理分析的任务就是帮助这颗种子发展、成熟、发挥它最充分的潜能。 ·荣格在治疗实践中观察到,那些成功地使自己摆脱日常问题的困扰、达到心理发展的更高层次的患者,实质上什么也没做,只是简单地顺其自然,让该发生的事发生。他们允许自己的无意思在寂静的心理深处与意识交谈,并予以无意识心灵以最大最真诚的关注。当一个人的意识与无意识之间搭起了沟通的桥梁时,无意识丰富了意识的内容,意识又照亮了无意识的世界,他们从对立面走向融合,从而使一个人的认识增强、人格发展壮大。 ·心理分析的目的就在于将意识与无意识的世界统合起来达到自性化,也即人格的整合。·荣格还认为,只有当这一过程不受外界控制、不受分析师干预、自然而然地发生作用时,才能最完满地完成。 ·沙盘疗法就符合这样一原理,在一个安全、不受干扰的环境下让患者的无意识投射出来,与意识进行无声的交流,并与治疗师的无意识在沙盘中碰撞、交流,从而达到令人意想不到的治疗效果。
团体沙盘案例《和谐》(初稿) 这是一个心理咨询师成长小组,因共同的成长需要大家一起来体验团体箱庭,一方面想通过箱庭体验呈现潜意识的人格特质,另一方面让团体成员中人际关系更加和谐,团队的凝聚力更加紧密。 小组成员一共有六个人,分别为A 、B、L1、 D、S、L2(为了方便,以下依次简称为A、B、C、D、E、F)。六人均为女性,箱庭治疗师为Z,记录员为H。 制作的顺序以抽签形式决定,此次体验大家决定做四轮,制作顺序为:A、B、C、D、E、F; 箱庭制作地点在XX箱庭治疗室,准备工具为箱庭产品一套,记录笔、纸等。 指导老师要求记录员在箱庭制作结来后报告制作时间,并对每轮的作品和最终的箱庭作品拍照保存。 一、咨访关系的建立 指导老师和团队成员之间的关系: 这次箱庭心理咨询师成长小组成员,均是心理咨询师和心理学爱好者,指导老师本着尊重、热情、真诚、共情、积极关注的原则,与队员建立相互信任、坦诚相待的咨访关系,此次团体箱庭体验活动为首次活动。在以后的时间,成长小组将定期开展系列的箱庭团体活动。 二、介绍团体箱庭疗法的制作原则 1、箱庭疗法坚持保密原则,个案的研究及发表都要征得来访者的同意。 2、不做人身攻击,只对物品的喜好阐述自己的态度,不对置放物件的人品头论足。 3、自我开放的程度由团队成员自己掌握,治疗师根据现场互动情况控制局面,但不轻易的插话和打断互动场景。 4、造型、抚沙、放玩具算一次制作次数。 5、不同类的玩具,一轮只能拿一个;相同类的玩具可以一次拿几个。 6、移动别人的玩具一次,就减少一次自己摆放玩具的次数。 7、每一轮的最后一个人放完玩具后,要告知记录人。 8、照相应从东、南、西、北、上五个角度拍摄。 9、团队成员要提早把自己想要摆的玩具看好,但不要提前拿在手里,这样一方面可以节省时间,另一方面不干扰别人按顺序拿到自己的玩具。 10、成员在置放玩具前,要相对固定一个方向,不要随意变换位置。 11、团体箱庭以抽签的方式排序,遵从弱者优先,排到最后的一个人,可以调整到第一位(也可以不调整,按抽签顺序进行)。 12、团体箱庭的体验应该是持续的,成长性的。一般按照团体疗程3-5
箱庭疗法 作者:小靖老师a 第一篇箱庭疗法概论 箱庭疗法是在治疗者的陪伴下,来访者从玩具架上自由挑选玩具,在盛有细沙的特制箱子里进行自我表现的一种心理疗法。 一、箱庭疗法的材料:箱子、沙和玩具 (一)箱子 箱庭疗法中的箱子规格为57厘米×72厘米×7厘米。箱子内侧涂成蓝色,之所以要涂成蓝色,是为了使人在挖沙子时产生挖出“水”的感觉。我们知道,生命离不开水,水是生命之源。水是物质的,也是精神的。水是包容的,也是流动的。在箱庭疗法中,培养来访者对水的这种感觉是很重要的。此外,蓝色能够使人产生遐想,让人烦躁的心平静下来,疲惫的心灵得到休憩。 (二)沙 沙是箱庭疗法中必不可少的媒介。 第一,箱庭以沙箱为中心,用箱子和沙创造出一个自由与受保护的空间。 第二,沙不是固体也不是液体,不是海洋也不是陆地,他介于固体和液体之间、海洋和陆地之间,因此深层心理学也认为沙的作用可以沟通人的 意识与无意识世界。 第三,沙在现实生活中随处可见,是大自然送给人类最自然、最神奇的玩具,玩沙是很多儿童和成人喜欢的活动。沙本身就是一个世界,在这个世 界里,人们用各种各样的方式来感受自然,寻找各样体验:轻松、快 乐、惬意和闲适。沙可以给来访者带来一种童年的回归。玩沙作为一 种非言语的交流方式,有助于来访者与治疗者的沟通,而正是沙与人 类这般密不可分的关系和玩沙带给人们这种自由、放松、休憩的感觉, 给来访者提供了一个自由、释放、保护的空间。 第四,现代文明是我们远离自然,包括我们的许多器官的感觉也变得迟钝。 沙,使我们的触觉变得灵敏;沙,教会我们珍视并敏感的对待身体的 每一器官。
第五,沙是母性的象征。大海是母亲的象征。 箱庭疗法中沙的作用主要有三点: 一是回归。沙的感触可以促使人的回归。沙给人以温馨的感觉,可以使人联想起母性,也可以使人回忆起幼时玩沙的情景,体验由触摸沙引起的孩提时代的回归或退行。所以学习箱庭疗法,先要去触摸沙,从记住沙的感觉开始。 二是大地。可以根据来访者意愿用沙制作大地、山、海滩、沙漠、田地等。当治疗接近尾声的时候,来访者往往会制作山,并在山上放置象征自己的人物或动物等,也有的会在上面放置带有精神世界象征的物体,如寺庙、塔或十字架等。这有可能表示来访者立足于大地,自我已得到确立。 三是整合。触摸沙可以使人通过触觉恢复已忘却的动物本能的感觉机能,沙的温馨的感触可以起到整合人的心理和身体的作用。 (三)玩具 箱庭疗法使用各式各样的玩具。玩具本身类似于真实的现实之物。梦、理想的境界及难以用语言表达的情感等,可以通过箱庭及箱庭中的玩具表现出来。箱庭疗法并不要求特定的玩具,只要准备各种各样的玩具,让来访者能充分表现自己即可。对玩具的大小也无特别的限定,有的人对大的东西毫无兴趣的话,自然就会完全无视大东西的存在,这本身也反映了一个人的性格特征。必须具备的玩具有人形、动物、树木、花草、各种车船、飞行物、建筑物、桥、栏杆、石头、怪兽等。玩具并非一次必须准备齐全,可以一点一点地积累,将所积累的玩具有序的排列在专用的玩具架上。 二、箱庭疗法的指导语 在实施本技法时,只需要治疗者说:“请用架子上的玩具,在沙箱里做个什么,做什么都可以。”对有的来访者甚至就说一句:“来,制作一个箱庭吧!”一般来说,来访者一看架子上的玩具和沙箱自会明白,并不需要更多说明,特别是对儿童更不需要什么说明,儿童就会马上做起来。如果有的来访者问“动沙也可以吗”或“只放动物可以吗”,和所有的投射测验一样,治疗者只需回答“你想怎么样都可以”或“你按自己的想法去做就可以了”。无论怎样,必须给来访者自由表现得机会。 三、箱庭的制作
Netflow安装步骤 一、安装linux 操作系统,安装是要把apche(www服务器)组件和development tools(编译安装工具)选上 二、部署flow-statcgi Flow-statcgi是一个基于flow-tools的browse/server结构(cgi)的NetFlow数据分析工具。 2.1cisco设备的设置 cisco设备的NetFlow支持,首先要培植cisco设备,使之产生NetFlow数据,输出到服务器的2055端口上。 2.2安装flow-tools 0.56 使用flow-tools来接收NetFlow数据,并保存成文件。 为了顺利编译flow-statcgi,要将flow-tools的源文件解压缩到/root下: 1.将flow-tools-0.56.tar.gz复制到服务器的/root目录下。 2.cd /root ; tar zxvf flow-tools-0.56.tar.gz ; cd flow-tools-0.56(这是三个命令用一行执行) 3../configure 4.make 5.make install 2.3安装apache server 使用apache server来做http服务器。 由于各apache server的配置不一样,在flow-statcgi中假设cgi-bin目录为/var/www/cgi-bin,www目录为/var/www/html。如果有变动,需要修改flow-statcgi.c中的“DEBUGFILENAME”、make_flow_cgi.sh中的“/var/www/cgi-bin/” 三、编译和安装flow-statcgi 3.1预处理 1.将flow-statcgi.c复制到/root/flow-tool-0.56/src/,将flow-statcgi.temple.html复制到/var/www/cgi-bin/(cgi所在目录),将flow-statcgi.log.html复制到 /var/www/html/(html所在目录),注意要在这里把flow-statcgi.log.html的属性 加个可写属性。 2.修改flow-statcgi.c中的“DEBUGFILENAME”(要改成html文件所在的位置)、“DataDir”(要改成flow-tool数据所在目录) 3.修改flow-statcgi.c中的“isip”部分,同时修改“ISIPCOUNT ”、“isipdesc”,“isip”。 详细说明见《Flow-statcgi使用说明》中的“预定义条件”。 3.2编译、安装 把make_flow_cgi.sh这个文件拷贝到/root目录下,修改make_flow_cgi.sh中的“/var/www/cgi-bin”为cgi所在目录。执行一下命令进行编译、安装“sh make_flow_cgi.sh flow-statcgi”,这样会在cgi目录下面生成一个flow-statcgi的cgi文件。其中编译之后会出现警告信息,可以忽略不管。 四、运行flow-tools 1.把startflowreceive.sh和starflowcapture.sh这两个shell命令文件拷到/root目录下2.执行“sh startflowreceive.sh”命令 3.执行“sh startflowcapture.sh”命令
箱庭疗法 北京师范大学发展心理研究所 张日昇研究室供稿箱庭疗法(, ),国内又称为沙盘疗法或沙盘游戏疗法,是指在治疗者的陪伴下,来访者从玩具架上自由挑选玩具,在盛有细沙的特制箱子里进行自我表现的一种心理疗法(张日昇,2006)。 张日昇教授在专著《箱庭疗法》(人民教育出版社,2006)的《后记》里,以“心·无意识·箱庭”为主题,总括了箱庭疗法的精髓,点明了箱庭疗法可以成为心理咨询的一个良好平台,帮助来访者在简易而丰富的箱庭世界,将自我的心理冲突或矛盾通过箱庭制作有意无意地进行释放和整理,使无意识意识化,整合自我,从而获得心理问题的解决。张日昇教授认为,箱庭疗法不是单纯的心理咨询技术或心理治疗技法,也不仅仅是是深层心理学的临床应用,而是一门人生哲学。 一、箱庭疗法名称的确定 1939年,受威尔斯“地板游戏”的启示,英国伦敦的小儿科医生劳恩菲尔德将“地板游戏”凝缩到空间限定的箱子,并将这种游戏看成是一种治疗技术。最初,是将收集的各式玩具模型放在箱子之中,让孩子们在箱子中游玩,孩子们将这个箱子称为“神奇的箱子”,后经对玩具及箱子进行整理,将这一儿童心理治疗方法命名为“世界技法”()。 瑞士的精神分析学家考尔夫(D.)接受了劳恩菲尔德的指导,并和荣格(C.G.)的分析心理学的象征理论和原型理论相结合,为来访者创造一个“自由与受保护的空间”,来访者在沙箱中运用玩具、模型来表达自己的无意识世界,可以使患者的自我治愈力()得以发挥。卡尔夫特别重视治疗者与患者的信赖关系的确立,将治疗者与患者的关系称为“母子一体性”。她开始使用“”来区别于劳恩菲尔德的“世界技法”。 日本临床心理学家河合隼雄在瑞士的荣格研究所留学时跟考尔夫学习了这一技法,并于1965年回国后将这一技法介绍到日本,并将之命名为“箱庭疗法”。在日本,几乎所以有心理咨询机构都建立有箱庭疗法治疗室,可以说日本是世界上最盛行这一疗法的国家。 北京师范大学张日昇教授1998年将箱庭疗法介绍到中国,立足于东方文化和中国传统园林盆景艺术的精髓,考虑到其对东方思想的继承和与中国传统园林、盆景艺术的相似性,在“箱子里制作庭园”可以很好地表现卡尔夫“”的传统,故沿用河合隼雄的“箱庭疗法”这一名称。先后在北京师范大学、河北大学等多所大学和中小学、幼儿园、智障、聋哑学校建立了箱庭治疗室,长期开展着心理临床实践,并在《心理科学》上发表了中国第一篇“箱庭疗法”的综述文章、个案报告和基础研究报告,出版了《箱庭疗法》(人民教育出版社,2006)。箱庭疗法在心理临床中的有效性已得到了验证,在中国心理临床中将发挥重要作用并不断得到发展。 二、箱庭疗法的材料 箱庭疗法是来访者在治疗者的陪伴下,运用所提供的沙箱和各种玩具在沙箱里制作箱庭作品,以达到心理治疗的目的。 因此,箱庭治疗室或箱庭咨询室或箱庭游戏室(图1)、沙箱、沙子和玩具是必备的材料。 1.沙箱(图2):箱庭疗法的箱子规格为57×72×7()。箱子内侧涂成蓝色,是为了使人在挖沙子时产生挖出“水”的感觉。此外,蓝色能够将让人烦躁的心平静下来,箱子的重要作用是保护制作者自由地表现内心世界。箱庭的箱子是一个有边界限定的容器,四角正是相对于“天”的“地”而言,大地作为母性的象征给来访者一种安全与受保护的感受。 2.沙子:沙子是箱庭疗法中必不可少的。箱庭以沙箱为中心,以箱子和沙子创造出一个自由与受保护的空间。其中沙箱构成箱庭一个保护的外在限制的空间,而沙子在某种程度上构成来访者的一个内在释放和保护的空间,外围的限制与内在的释放有机结合在一起,对心理治疗起到调和与维护的作用。玩沙作为一种非言语的交流方式,有助于来访者与咨询者的沟通,给人们自由、放松、休憩的感觉,提供了一个自由、释放、保护的空间。
第31卷 第23期 2009年12月武 汉 理 工 大 学 学 报JOURNA L OF WUHAN UNIVERSIT Y OF TECHN OLOG Y Vol.31 No.23 Dec.2009DOI :10.3963/j.issn.167124431.2009.23.037 基于N etFlow 的网络流量采集技术和应用 孟晓蓓 (武汉大学计算机中心,武汉430072) 摘 要: 针对计算机网络状况监控领域的实际需要,提出了基于Net Flow 的流量采集技术。相比其它的流量采集工具,Net Flow 的流量采集技术具有配置方便,费用低,占用资源小的优点。分析了Net Flow 交换技术采集网络流量信息的实现原理。并从计算机网络的网络层和传输层2个方面,讨论了Net Flow 网络流量采集技术在网络信息安全方面的相关应用。 关键词: 流量采集; Net Flow ; 网络攻击 中图分类号: TP 393.06文献标识码: A 文章编号:167124431(2009)2320155204 N et work Flux Collection T echnique B ase on N etFlow and Its Application M EN G Xiao 2bei (Computer Center ,Wuhan University ,Wuhan 430072,China ) Abstract : This paper proposes the network flux collection technique based on net flow according to practical requirements in the field of monitoring the status of computer https://www.doczj.com/doc/9f12434424.html,pared to other flux collection tools ,Net Flow has advantages of con 2venient configuration ,low cost and small occupied resources.This paper analyses the principle of realization of Net Flow ex 2change technique collecting network flux information.Then both from the network layer and transport layer ,the paper discuss 2es some relevant applications of Net Flow network flux collection technique using in network information security areas. K ey w ords : flux collection ; Net Flow ; network attack 收稿日期:2009207209. 作者简介:孟晓蓓(19572),女,高级实验师.E 2mail :meng1025@https://www.doczj.com/doc/9f12434424.html, 随着Internet 和Intranet 的发展,网络用户、接入设备日益增长,对计算机网络的安全运行产生了压力。因此,计算机网络状况的实时监控的工作,显得十分必要。计算机网络状况的实时监控的一个重要环节,就是网络上的数据流量进行统计和分析。由于各种各样的应用对网络带宽的需求越来越高,传统的网络流量统计和数据采集方式开销大、对数据传输延时的影响大,已经不能满足现在的需求,因此,需要一种新的流量统计技术来适应现在的网络环境。Net Flow 技术正是这样的能适应新环境的流量采集方法。 1 网络流量采集的特点和方法 理想的数据采集方式应该具备以下一些特点[1]: 1)不影响数据流转发的速度 在整个数据流的采集过程中,不能有明显影响数据流转发速度的状况发生。如果在数据采集的过程中,数据流转发的速度明显下降,不能真实地反映网络流量状况,这违背数据采集的根本目的。 2)占用资源小 对数据流进行采集的过程中,可能需要在路由器(交换机)中进行流量统计,并且储存所
一名遭受性虐待儿童的箱庭疗法案例 一、案例概要 1、C:7岁,女孩,样貌小巧可爱 2、家族:父亲51岁,母亲43岁,哥哥10岁,4人家庭 3、来访前: 根据儿童虐待报告进行了现场调查,被判断为受到身体、精神、性的虐待以及养育放弃,和哥哥一起被实施了远离父亲的分离保护措施。首次与咨询者进行了关于分离保护经过的面谈。在开往咨询中心的车子中,对于分离保护完全没有表现出不安,与哥哥高兴地聊天。着装虽然不清洁,但是可以看得出是精心打扮的一件带有蕾丝花边的短裙。 4、家族史 生于西南部A地都市。本来是家族4人一起生活,但是C四岁的时候,由于父亲的家庭暴力导致母亲离家出走。母亲出走后,父亲离开A市,与哥哥一起搬到B市。在B市,3个人度过了2年的风餐露宿生活。之后,3人住进救助机构一段时间,然后就开始租房住。在这期间,父亲与住在C市的母亲再次见面,由于父亲的暴力再次致使母亲离家出走。父亲由于酒精中毒而患上了肺病。 5、问题史 父亲对C的暴力实施从脸部遍及全身。父亲很易怒,经常在没有喝酒的情况下反复地实施暴力性言语攻击。而父亲喝醉了的时候,更是经常不让C睡觉连续整晚进行暴力行为。住在A市的时候父亲就已经开始了对她的性虐待。在B市的救助机构居住的时候,这种行为被发现,C去了小儿精神科接受治疗。之后,继续受到来自父亲的性虐待。除去暴力和性虐待之外,父亲还经常不让C吃饭,只给她一些点心吃。分离保护时的生活环境是在一间狭小的房间里,和其他露宿生存者一起居住的。 二、咨询经过 1、心理判定 (1)社会面:由于家庭的解体,没有受到适当的养育,双亲的不合关系、来自父亲的暴力以及性虐待、养育放弃等等造成C不安程度很高。母亲的离家 出走导致C对与母亲的憧憬以及情绪上的缺乏陷于深度紧急状态。 (2)心理面:实施KEDI-WISC,HTP,KFD,SCT 在智力测验中得分93属于平均水平。其中,模型再构成能力、对抽象刺激 的视知觉能力比其他能力优秀。相反地,右脑的处理能力、对有意义刺激 的视知觉能力、集中力、对刺激群进行分析和分类的能力略低。 (3)性格测验:实施HTP,KFD, SCT, K-CBCL 内外紧张与不安度高,缺少自我统治力。对环境感到无力,并且显示出过 度的反应和压抑的反应(焦躁感、愤怒、哭泣等),情绪不安。另外,与他 人关系的形成和维持方面,不能顺利地进行,有难以克服自身情感的倾向。 作为结果,形成了C高度不安、依存性人格、不能与他人进行积极接触、 倾向于对他人施加强烈印象的性格。 所有测验都标志着一个共同的问题,即诉之于一种令自己痛苦的状态(身
Contents 1. Test case 1:测试Openflow 交换机的流表容量 (1) 2. Test case 2:测试Openflow 交换机的流表学习速率 (5) 3. Test case 3:测试Openflow 交换机的吞吐量,时延,抖动和丢包率 (12) 4. Test case 4:测试Openflow 交换机的流表震荡 (14) 1.Test case 1:测试Openflow交换机的流表容量 ?测试目的:测试Openflow交换机最多能支持的流表数量 ?测试拓扑: ?预配置(请注意,预配置部分是写本文需要,在OpenvSwitch上所做的配置。读者在用OVS做实验时候可参考此配置,实际测试则不需要进行此部分) 设置br1 的flow table 0 表项容量为100 Step 1:在OVS 的ovsdb中,在Bridge 表中,把br1 条目的flow_tables列中关联br1 的 flow_table 0, 并且在Flow_Table表中创建一行。 ovs-vsctl set Bridge br1 flow_tables:0=@table0 -- --id=@table0 create Flow_Table name=table0 查看Bridge表和Flow_Table表: [root@localhostmrzhao]# ovs-vsctl list bridge _uuid : c5601237-6574-465b-843f-ac52c61d5bad
Controller : [bca3710d-1280-44eb-8436-20bbe5c8161c] datapath_id : "0000000c2992086a" datapath_type : "" external_ids : {} fail_mode : [] flood_vlans : [] flow_tables : {0=bebe5b02-6216-4a8a-af5d-27f1dde2bf48} ipfix : [] mirrors : [] name : "br1" netflow : [] other_config : {} ports : [358480c2-0709-476d-8446-3020584454d0, 4f1a7238-d611-4345-8b06-83a62d414952, 5dd30471-07c4-4eac-90a1-0cf7d96e7b07, a4c3be4c-bda5-4686-af08-4e59d51040bd, eaf6eb05-0d95-4775-9abb-1b139469a9b9] protocols : [] sflow : [] status : {} stp_enable : false [root@localhostmrzhao]# ovs-vsctl list Flow_table _uuid : bebe5b02-6216-4a8a-af5d-27f1dde2bf48 external_ids : {} flow_limit : [] groups : [] name : "table0" overflow_policy : [] prefixes : [] Step 2:设置br1 的table0 的流表大小是100条流表项 ovs-vsctl set Flow_Table table0 flow_limit=100 查看流表项设置:
心理沙盘分析师培训课程 您是否希望在心理咨询工作中掌握一套拿来就能用的模板? 您是否希望在心理咨询工作、心理健康工作中自由挥洒游刃有余? 您是否希望去参透一套理论深厚,变化非凡奥妙无穷的咨询技艺? 您是否希望见证到箱庭理论的实践,能够应用处理心理冲突实现自我的整合? 您是否希望能独立操作箱庭疗法来解决常见的各类问题,让周围的人们因你的箱庭疗法而获益? 【课程定位】 一站式成为心理沙盘分析师、箱庭治疗师的关键环节; 心理箱庭沙盘工作,实践操作的指导书; 补充完善整个箱庭课程的操作流程、理论落地。 课程定位种类张日升老师箱庭初级张雯老师(张日升老师钦点 弟子)箱庭实操 张日升老师箱庭中级 课程意义带你走进箱庭世界,感受大 师风采,助你打下坚实基础。 非常具体得教会怎么做,箱 庭疗法理论和技巧的细化、 流程化、规范化。 传授更加深奥的箱庭技巧与理 论基础,帮你打开心门,迈入新 境界。 课程定位箱庭沙盘打基础必学课程希望用箱庭实际操作,问题 解决的必学课程想要深入研究咨询,应用箱庭技 艺的必学课程 课程收获了解箱庭世界的“道”,理 论学习,专业提高,实务技 术。 一套完整的箱庭技术操作模 板,系列问题解决的参考方 案。 箱庭应用报告,个案督导,精神 分析、无意识理论与箱庭的精髓 探索。 【成长之路】 箱庭实操技能课程是:
一站式成为箱庭治疗师的关键环节; 心理箱庭沙盘工作,实践操作的指导书。 学员成为箱庭疗法治疗师可实现: 用箱庭基础理论理解与用箱庭思维表达作品; 独立完成箱庭个体咨询引导、操作、剖析、总结; 独立完成箱庭团体咨询引导、操作、剖析、总结; 解决箱庭疗法在个体咨询、学校咨询、家庭咨询的常见问题; 箱庭疗法咨询案例的总结与汇报、箱庭疗法针对不同类型问题与案例的解决方案。 学员成为优秀的箱庭疗法治疗师的关键: 理论技艺实战领悟 三次课程分别可帮你实现的: 箱庭疗法初级:入门理论部分技艺 箱庭疗法技能:技艺实战应用 箱庭疗法中级:深化技艺应用点拨助你领悟 【课程对象】 心理咨询师;学校德育老师、心理辅导老师;医院心理医生;箱庭疗法爱好者。 箱庭疗法是学校心理健康工作重要组成部分,是心理老师获得单位认可、学校心理健康建设的重要途径。 箱庭疗法也是心理咨询中的核心技术之一,是每个咨询师都应该学习的技术。 箱庭疗法技术实操课程也会帮助医院的心理医生、爱好者切实掌握实用技术 【学员收获】 个体箱庭技艺操作流程与模板; 团体箱庭技艺操作流程与模板; 能够立竿见影得实现咨询技能操作的突破; 箱庭实施操作中常见问题的提醒、汇总、解答; 学会在咨询中恰如其分的使用不同形式的箱庭疗法开展心理辅导工作; 多样化箱庭案例报告的方法与示例,箱庭理论分解传达到技艺的具体方法; 在实践中提炼总结范式,将箱庭理论、实践与科研结合起来,为撰写报告、论文研究、咨询总结做好扎实准备。 专业
京师博仁箱庭学院 箱庭疗法治疗师研修班 初阶研修班:张日昇老师把你引入箱庭世界,零基础也可以迅速入门,快速上手。 进阶研修班:张日昇老师教你如何用箱庭自我成长,应用于现实。 【讲师介绍】 张日昇 中国箱庭疗法第一人 北京师范大学教授、博士生导师 西藏自治区心理学会名誉理事长 日本健康心理学会国际委员 日本心理学会会员认定心理士(登录号第1829号) 日本心理学会第二部门(发展与教育心理)专业议员(2003 年-2005年) 北师大心理学院、京师博仁横向合作课题特约教授中国心理学会国际学术交流工作委员会副主任 中国心理学会学校心理专业委员会委员 日本早稻田大学临床健康心理学研究所客员教授。 箱庭疗法是由张日昇教授于1998年正式介绍到中国,多年来一直致力于箱庭疗法的教学、 研究,临床实践和推介工作,积累了丰富的经验并形成系统的理论和应用体系,提出了箱庭 疗法“人文关怀、明心见性、以心传心、无为而化”的精髓。 张日昇教授带您走入箱庭的世界,帮你解决问题,让你收获成长! 箱庭疗法(Sandspiel,Sandplay therapy)起源于欧洲,日本临床心理学家河合隼雄 于1965年将这一技法介绍到日本,并将其命名为“箱庭疗法”,张日昇教授于1998年将箱 庭疗法引入中国,考虑到“箱庭疗法”与中国传统园林、盆景艺术的相似性,即“在箱子中 制作庭院”,故沿用河合隼雄“箱庭”的汉语名称,并在国内开展了富有开创意义的研究、 应用以及推介工作。 箱庭疗法呈现为一种心理治疗的创造和象征形式,在所营造的“自由和保护的空间”气 氛中,把沙子、水和沙具运用在富有创意的意象中,便是箱庭之心理治疗的创造和象征模式。
Netflow网络流量 分析手册 作者:聂晓亮(毛蛋哥)
目录 一、作者简介 (4) 二、为什么会有这本书 (5) 三、流量分析原理 (6) (一)原始流量分析方式 (6) (二)Netflow分析方式 (6) 四、流量采样 (8) (一)在网络设备上开启Netflow功能 (8) (二)网络设备不支持Netflow (9) 1.部署方式 (9) 2.安装Fprobe (11) 3.启动Fprobe (11) 4.镜像流量至Fprobe服务器 (12) 5.检测是否收到Netflow数据 (12) 五、部署服务器 (13) (一)硬件需求 (13) (二)安装FreeBSD (13) (三)安装Nfsen (14) 1.安装apache22 (14) 2.安装php5 (14) 3.安装nfsen (15) (四)安装PortTracker (15)
(五)访问Nfsen (16) 六、抓贼攻略 (18) (一)了解网络运行状况 (18) (二)什么协议吞了带宽 (22) (三)抓出罪魁祸首 (25) 七、感谢 (30)
一、作者简介 本书作者聂晓亮,网名毛蛋哥。2004 年毕业于北京联合大学信息工程学院,热 爱网络相关知识及摄影,机缘巧合参加了 Cisco认证培训,并获得了一些成绩。本 书写于2008年10月,作者目前状态工 作较为舒适,故有空闲时间完成此书。 聂晓亮(毛蛋哥)拥有自己的Blog及Wiki空间,其中记录了作者的工作、生活、学习。作者希望通过此书以及Blog、Wiki同全世界的网络爱好者分享其知识与快乐。 聂晓亮(毛蛋哥)的Blog:https://www.doczj.com/doc/9f12434424.html, 聂晓亮(毛蛋哥)的Wiki:https://www.doczj.com/doc/9f12434424.html, 欢迎交流:pharaohnie@https://www.doczj.com/doc/9f12434424.html,
NetFlow是一种数据交换方式。Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。也许它不能象tcpdump那样提供网络流量的完整记录,但是当汇集起来时,它更加易于管理和易读。Netflow由Cisco创造。 工作原理:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。NetFlow有两个核心的组件:NetFlow缓存,存储IP流信息;NetFlow的数据导出或传输机制,NetFlow利用此机制将数据发送到网络管理采集器。 概念:一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。 确定Flow的标识:SIP+DIP+SPORT+DPORT +Layer 3 protocol type + TOS byte() + Router or switch interface 数据采集格式 NFC(Cisco NetFlow Collector) 可以定制多种NetFlow数据采集格式,下例为NFC2.0采集的一种流量数据实例,本文的分析都基于这种格式。 61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1 数据中各字段的含义如下: 源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议 类型|包数量|字节数|流数量 cache缓存空间