传承中华传统美德ppt:封包是什么？为什么有的人PP那么多啊？

加上用WPE修改封包

如果您的机器上面装有 netxray 等封包撷取软体或使用NT的“网路监视器”我们就可以撷取那些进出本机的封包了。

当我们打开撷取功能之后然后使用ping命令随便ping一个地址如www.hinet.net。我们可以撷取到如下这些封包
正如我们所见到的我们撷取到DNS和ICMP的封包了因为www.hinet.net需要到DNS解释而ping是一个ICMP协定。您或许知道ICMP封包的type为“Echo Request”和“Echo Reply”分别代表什麽意思吧

让我们再深入一点看看DNS封包里面有些什麽东东
如果您往上卷回有关“DNS”的文章看看我们用 nslookup 的 debug 模式查找 www.hinet.ne t这个网址时候引一下那里的内容您就知道这个封包说些什麽了。

下面让我们再看看ICMP封包里面的内容

其实我们真正撷取到的封包内容应该是红圈的围在上面和右边的栏目里面的资料是经过程式整理出来的结果。在第一行里面我们看到“00 80 c7 47 8c 9a 48 54 e8 27 75 77”这串数字所代表的分别是目的地和来源地的MAC地址然后“08 00”代表的是一个Ethernet II的IP协定类型。Ethernet II可以说是IEEE802.3的改进版本。(还记得“网路概论”里面关於“逻辑形态”的叙述麽)。这里可以说是Datalink网路层所要追踪的资料。

然后接下来的是属於IP封包的内容

请先记着上图的内容我打算在下一节里面在详细讨论每一行的意思。

IP封包格式

首先让我们看看IP封包的格式是怎样的和其组成部份以及各部份的长度如何

Version (4) Internet Header Length (4) Type of Service (8) Total Length (16)
Identification (16) Flags (3) Fragment Offset (13)
Time To Live (8) Protocol (8) Header checksum (16)
Source Address (32)
Destination Address (32)
Options (Variable) Padding (0-24)

Data
....

在上图中括号之内的数字就是各部件的长度(bit)如果您够细心就会计算得出每一列的总长度都是32bit。下面我们分别对各部件名称解释一下

Version

版本(VER)。表示的是IP规格版本目前的IP规格多为版本4(version 4)所以这里的数值通常为 0x4 (注意封包使用的数字通常都是十六进位的)。

Internet Header Length

标头长度(IHL)。我们从IP封包规格中看到前面的6列为header如果Options和Padding没有设定的话也就只有5列的长度所以这里的长度为“5”我们知道每列有32bit也就是4byte那麽5列就是20byte了20这个数值换成16进位就成了0x14所以当封包标头长度为最短的时候这里数值最终会被换算为 0x14 。

让我们看看我们撷取的ICMP封包其中属於IP部份的开头

在这里我们看到的数值是“45”前面的“4”就是版本号数而后面的“5”则是标头长度。

Type of Service

服务类型(TOS)。这里指的是IP封包在传送过程中要求的服务类型其中一共由8个bit组成其中每个bit的组合分别代表不同的意思

000..... Routine 设定IP顺序预设为0否则数值越高越优先
...0.... Delay 延迟要求0是正常值1为低要求
....0... Throughput 通讯量要求0为正常值1为高要求
.....0.. Reliability 可靠性要求0为正常值1为高要求
......00 Not Used 未使用

在下例中我们可以看到TOS的值为0也就是全部设置为正常值

Total Length

封包总长(TL)。通常以byte做单位来表示该封包的总长度此数值包括标头和数据的总和。

从上图我们看到的十六进位数值是“003C”换成十进位就是“60”了。

Identification

识别码(ID)。每一个IP封包都有一个16bit的唯一识别码。我们从OSI的网路层级知识里面知道当程式产生的数据要通过网路传送时都会被拆散成封包形式发送当封包要进行重组的时候这个ID就是依据了。

从上图我们可以看到此封包的ID为40973 (将 a00d 换成十进制就知道了)。

Flag

标记(FL)。这是当封包在传输过程中进行最佳组合时使用的3个bit的识别记号。请参考下表

000. 当此值为0的时候表示目前未被使用。
.0.. 当此值为0的时候表示封包可以被分割如果为1则不能被分割。
..0. 当上一个值为0时此值为0就示该封包是最后一个封包如果为1则表示其后还有被分割的封包。

在下例中我们看到这个封包的标记为“0”也就是目前并未使用。

Fragment Offset

分割定位(FO)。当封包被切开之后由於网路情况或其它因素影响其抵达顺序并不会和当初切割顺序一至的。所以当封包进行切割的时候会为各片段做好定位记录所以在重组的时候就能够依号入座了。

因为我们刚才撷取到的封包并没有被切割所以暂时找不到例子参考在上例中我们看到的FO为“0”。

Time To Live

延续时间(TTL)。这个TTL我们在许多网路设定上都会碰到当一个物件被赋予TTL值(以秒为单位)之后就会进行计时如果物件在到达TTL值的时候还没被处理的话就会被遗弃。 不过并不是所有的 TTL 都以时间为单位例如 ICMP 协定的 TTL则以封包路由过程中的跳站数目(Hop Count)做单位。TTL 值每经过一个跳站(或被一个 router 处理)之后就会被减低一个数值 。这样当封包在传递过程中由於某些原因而未能抵达目的地的时候就可以避免其一直充斥在网路上面。

上图中我们看到的数值可不是 20 哦因为这是个十六进位数字要换成十进位才知道 TTL 原来是 32 个跳站。

Protocol

协定(PROT)。这里指的是该封包所使用的网路协定类型例如ICMPDNS等。要注意的是这里使用的协定是网路层的协定这和上层的程式协定(如FTPPOP等)是不同的。您可以从Linux的/etc/protocol这个档案中找到这些协定和其代号此档案也存放於NT的winntsystem32driversetc目录里面。其内容如下
------------------------------------------------------
ip 0 IP # internet protocol, pseudo protocol number
icmp 1 ICMP # internet control message protocol
igmp 2 IGMP # Internet Group Management
ggp 3 GGP # gateway-gateway protocol
ipencap 4 IP-ENCAP # IP encapsulated in IP (officially ``IP'')
st 5 ST # ST datagram mode
tcp 6 TCP # transmission control protocol
egp 8 EGP # exterior gateway protocol
pup 12 PUP # PARC universal packet protocol
udp 17 UDP # user datagram protocol
hmp 20 HMP # host monitoring protocol
xns-idp 22 XNS-IDP # Xerox NS IDP
rdp 27 RDP # "reliable datagram" protocol
iso-tp4 29 ISO-TP4 # ISO Transport Protocol class 4
xtp 36 XTP # Xpress Tranfer Protocol
ddp 37 DDP # Datagram Delivery Protocol
idpr-cmtp 39 IDPR-CMTP # IDPR Control Message Transport
rspf 73 RSPF #Radio Shortest Path First.
vmtp 81 VMTP # Versatile Message Transport
ospf 89 OSPFIGP # Open Shortest Path First IGP
ipip 94 IPIP # Yet Another IP encapsulation
encap 98 ENCAP # Yet Another IP encapsulation
------------------------------------------------------

在我们这个例子中可以看得出PROT的号码为“01”对照/etc/protocol档案我们可以知道这是一个ICMP协定。

Header Checksum

标头检验值(HC)。这个数值主要用来检错用的用以确保封包被正确无误的接收到。当封包开始进行传送后接收端主机会利用这个检验值会来检验馀下的封包如果一切看来无误就会发出确认信息表示接收正常。

上图中我们看到的封包之HC为“9049”。

Source IP Address

来源地址(SA)。相信这个不用多解释了就是发送端的IP地址是也。

我们将“c0.a8.00.0f”换成十进位就可以得出“192.168.0.15”这个地址了。
Destination IP Address 目的地址(DA)。也就是接收端的IP地址啦。
看看你能不能将“a8.5f.01.54”换成“168.95.1.84”
Options & Padding
这两个选项甚少使用只有某些特殊的封包需要特定的控制才会利用到。这里也不作细表啦。
wpe所要改的，不是[游戏里面的数值]，而是[伪造信息封包]。 什么意思咧??就是我们用wpe所要改的，并不是"生命力由100变成10000"之类的东西， 这种东西无法用wpe改， 我们要改的可能是把"我卖了一个500元的东西" 改成"我卖了一个50000元的东西"或把"我得了10的exp"改成"我得了10000的exp"之类 的， 或者是明明身上没东西还一直卖"500元的东西"或没怪物还"一直打10的exp"。

因为wpe是个一封包截取软件，它能截取网络上的数据封包，《传奇》采用了Client/server模式，我们的信息全在服务器上面，想从服务器上修改我们的个人用户信息，可能性为微乎其微，客户端安装在你的机器上， 玩游戏的时候，你发出指令，其实就是向服务器发送封包，服务器接收到封包后进行分析，然后返回结果，结果也是以封包的形式发送到你的机器上，你的机器接收到后就可以看到结果了。

这就给我们修改造成了机会，如果我们把封包里的数据改了会怎么样呢？？比如我发了一小火球，截取到代码，然后改成闪电的代码，那么我在机器上的效果应该就是闪电的效果了（已经试验过，可行）。这种方法理论上是可行的，可是为什么有时实现不了呢？？因为服务器还有应对措施，对一些重要的数据往往需要检测多项，我们修改的时候只是修改了其中一项，是不行的。而且往往数据包是加密传输的，这也给我们找正确的数据制造了麻烦。

但是服务器的监测工作是有限度的，因此不可能全部都由服务器完成，很多耗资源的监测都放到了客户端上，早期的免腊，半月，穿人都是在本机上进行了监测，服务端并没有相应的监测机制，只有最近的更新才加入了一些监测，但也造成了整个服务端的狂慢。所以对一些服务器并没有监测的东西我们还是可以修改的，当然这些东西需要大家一起探索。

x劲舞小生1.7破解版 支持所有现在外挂的功能

本人拿出来自己搞的东西也是为了换身衣服，希望大家体谅
500MB 或者QQ币 诚信为本 信誉第一 骗人或有木马死全家。 内有连P截图 可到所在区看！！！！！！ 有意思的加我QQ：89996564
不是诚心的不要打扰

好