雪月吧

123

Wed, 20 Sep 2023 16:42:25 +0800

靶场

https://10.5.101.97/

管理员账号

admin

Nsfocus@123

场景攻击队

zhangsan

Nsfocus@123

场景防守队

lisi

Nsfocus@123

场景中防火墙的账号密码

weboper

Admin@1234

-------------------------------------------

态势感知平台

https://10.5.101.96/

admin

Nsfocus@12

入侵检测系统

https://10.5.101.95/

admin

Nsfocus@123

BT578说明书

Sun, 21 May 2023 09:15:31 +0800

说明书见附件

高血压高血糖不是病——梁克森的分享

Sun, 05 Dec 2021 21:59:29 +0800

高血压高血糖不是病

——敬畏大自然，感恩本能系统医学

一

我叫梁克森，今年76岁。

我是2019年12月7号，我姑爷李恒带上我和妻子一块儿去了武强拜见郭达成院长。院长热情地接待了我们。片刻时间，院长会诊我们的状况，立刻给我们指明了调理的正确方案，并指定一名有丰富经验的高级指导老师（韩晓红）指导我们两口子调理。

我自2019年12月9号正式调理。

两天后就把多年来吃的药停了——血压高，糖尿病，两个支架儿的药，血脂高，尤其糖尿病的药，胰岛素（早打18个，晚12个），中早晚各一片“二甲双胍”等药。

身体没调理前，体重是81.4公斤。血压是高压155，低压90。血糖，空腹总是八九个，饭后一般都是十四五个。等到了2020年的六月份，我的血压是120/70，血糖是在5.0以下，通过医院检查，大夫说，你这个岁数，还这么好，就是血糖有点儿低了。通过检查我就放心了，所以我就放开吃了。

从2020年六月底开始吃的，到2021年的二月份就进入医院，住了九天的医院，仅仅的七个多月就是这个结果，住院理由是，头晕、吐、恶心。

第二次住院是2021年的11月11日。又住了九天医院，理由是跟上次同样。就是比2021年（二月份住院那次）延长了一个多月住的医院，受尽了大罪，后悔莫及。

该总结经验了。我愿我找出的原因，绝不能再受第三回苦了。

通过总结，原因就是没按规矩办。毛病还是从“吃”造成的，从2019年12月开始至2021年11月就是这样的结局。

二

下面，我把我在调理中出现的一些事情向郭达成院长，向各位调理师解释解释。

在调理过程中出现的一切现象都是正常的，如浑身的瘙痒、耳鸣、头晕、恶心、腿肿、口干等等等，耳朵痒痒、打喷嚏、流眼泪、打哈欠，这都是正常的现象，请不要害怕！请不要害怕！

三

一定要有正确的信念，干什么事儿没有信念，那叫胡扯！干什么认准的事情你要相信，要照着你的观念去照办，你别半信半疑，这个总是一事无成。

我就说，你要相信《本能论新解》，但是，一万个人里相信的也就有一个两个的，就是万里有一个人相信就不错了，我说的是一开始，不是现在。

没缘分的人，太多了，好心人难劝该死的鬼，该死的鬼，这个人呐，他没有缘分，你跟他说一万句也没有用，说一万句还是没用，你就甭跟他扯皮。

要是有缘的话，你一点他就明白，你一点他就明白，这无缘的人呢，你跟他说什么也没有用，所以说这种人你就不要理他了，这是我个人的看法，不一定正确。好心人难劝该死的鬼，我就是这么想的，是不是？我跟你说你不相信，我就不搭理你了，我也不跟你费口舌了，是不是？因为我不是专业干这个的，啊！

四

在调理过程中，要忍受磨难，要有恒心，否则就一切失败了。

你相信了是相信了，在进行调理了，在中途出现的问题，比方说腿痒，浑身瘙痒，挠的到处是血道子，对不对，耳鸣，弄得您心烦意乱……你就忍不住了，怎么办呢？你要耐磨难，要有恒心，否则就一切完，啊，一切都完了。

首先呢，你在调理过程中要“听话、照办、守规矩”，都按规矩办。不按规矩办，你最后的结局什么结局呀？你成功不成功是一方面儿，你活受罪！你受完罪还不说，对不对？我为什么说你受罪呢，你要不按规矩办，这是必然的！没有别的路可走。

五

对待这个事儿，我就是这个态度，你要是共产党，你就别入国民党，入了国民党了，共产党也不要你，为什么这么说呢？你脚踩两只船，共产党，你能相信吗？你相信也是假的，没有用，没有用！

六

再一个，要做的，我认为要做到三通，汗腺通，小便通，大便通。三通了，一切就全都通畅了，舒服开始啦！受益啦！就开始受益了。

汗通，不要流大汗，“温湿潮乎”就行了；小便，最起码的两个小时要有三次，最好半小时一次；大便要顺畅，成形儿的不好，你说我拉的就是这个什么，这个成形的屎橛子，这不好。最好是什么呢？稠糊的，排便的时候不费劲，稠糊的，这是好的，是最好的状态，不管次数多少，感觉舒服就行了，那是最好的，达到目的了。

要做到“吃喝动排休（平衡）”。吃喝了，你就要动弹，你不动弹就出不了汗，出不了汗，小便就少；小便少，大便就更不好办了，排不出去，不通畅了。

那怎么办呢？这一切要守“中道”，一切要守“中道”。怎么要求你的，我还是那句话，要“听话、照办、守规矩”，你得照办才行呢，不能违背规矩，违背规矩就完了，是吧。一切要守“中道”，不能过分，还要注意休息好，就是“吃喝动排休”这五个字儿，一定要牢牢的记住，要认真的去执行，绝对不能走样儿。走样儿就完，这绝对没有商量的事儿。

七

通过这个指导，方法，你也懂得方法了，那就是怎么说呢？那个调理的好与不好，那就取决于你个人了。是不是，你中途，在调理当中，你不按规矩办，今天擩嘴里这个，明天擩嘴里这个，你就偷着擩，你认为别人不知道，但是你的本能知道啊！你这肚子，你自己的事儿，你不知道？是不是啊？将来以后怎么办呢？你要不按规矩办，将来你早晚结局还是受罪！还是受罪！

所以说，你懂了方法了，调理好与不好，那就取决于你个人了，谁也帮不了你，谁也帮不了。也就是说，师父领进了门，你修行在个人。老师不能老净跟着你吧？跟你说100遍，你还是这个德行，是不是？那不行！为什么有的人他好不了，在什么地方儿呢？他为什么好不啊？知道吗？好一点儿了，就跟我似的，好一点儿了，就忘乎所以了，啊，就忘乎所以了。

尤其旁边的人再一说，“你瘦成啥样儿啦？老鸹子快把你叼跑了“，是不是啊？所以这句话呀，你不要往心里听。你又只能不管谁说这样的话，你要正确的对待，跟人解释。你怎么说呢？我就这么说，“你有你的生活方式，我有我的生活方式，咱们看谁走到最后，好不好？咱们用这个是最好的检验标准了，是不是啊？”。

您今儿个刚刚70岁，又咳嗽吧，又这个吧，那个吧，走不动道，腿发沉吧，那怎么造成的啊？那是您自己内心不该吃的东西您吃了，消化不了的东西您还是接着往嘴里、往口袋里装，那个胃受不了啦！

怎么办呢？受不了怎么办呢？那就对不起了，您原来是怎么难受来着？你还继续难受吧！难受，你忍不了了，你还上医院吧！医院也是开刀，开刀；愿意动剪子，动剪子，那就是您个人的事儿了，是不是？那就是说，你还是没按规矩办。人家指导老师跟你说得不是非常清楚吗？你不照着办，那赖谁呀？

为什么有的人，是不是啊，弄了四五年了，好不了，还恬不知耻地找人跟人说你这方法不怎么样。他不从自身找毛病，他找人家去。“花那么多钱，我都没弄好”。是弄不好！你“走一千倒八里”，那能好得了吗？好不了！你知道吗？你得“听话，照办，守规矩”才行呢，人家怎么指导，你怎么去执行。对不对？

有的人四五年了，他好不了，他为什么好不了啊？他没守规矩，能好得了吗？我刚才说了“走一千倒八里”，好点儿了，又开始吃；好点儿了，又开始吃，那能好得了吗？老是反复，你就直到心脏拉直了，你也好不了，这是我的断定！

八

你要想长寿，你就按规矩办。这最起码咱不图别的，说我岁数大了，活他妈100多了，怎么怎么回事儿……，但是，你要是相信《本能论新解》，是不是，你到临走那天，你都感觉到舒服，他不是呲牙咧嘴、痛苦着离去，这一点，我是相信这一点的。

我是相信这一点的！因为这个《本能论新解》，他是有灵性的，你相信不相信，反正我相信，他是有灵性的！你比方说，你在调理过程中，你要有什么想法儿，也就是说，你要有一颗什么心呢？你要带着一颗感恩的心。是不是，要有一颗感恩的心！感什么恩呢？你得感谢《本能论新解》！

九

你喝完（功能性食品）以后呲牙咧嘴，你这是喝汤药呢？这不是药！这是“食”的一种。只不过跟鸡鸭鱼肉，大米饭、馒头不一样，是不是？这为什么叫换食疗法呀，是不是啊？什么叫换食啊？把你不该吃的东西，你要把它舍掉；好消化的东西，你多吃，比方说莲子、百合、山药，是不是啊？你多吃点胡萝卜、（蔬）菜是不是啊？多熬点儿窝瓜吃，是不是啊？这都可以，青菜，带叶儿的菜，您多吃点儿，是不是，您多吃点儿，还让吃水果儿……

不是不让你吃，什么都能让你吃，但是为什么有些东西不能吃呢？就一个原因，您那“机器”呀，老化啦，是不是啊？承载不了那么多东西了，是不是啊？

你刚买的汽车，前五年，它载重量是四吨，你给它装六吨，它也能走，为什么呢？它年轻啊！它有劲呐。到八、九年，那年头儿，甭说你再怎么超载（它载重量是四吨，你装六吨），你再装它本能那四吨载重量，它起步也慢，上坡，就更慢了……，他为什么血压高啊？跟人一样，那车上坡的时候拉着四吨东西，嗡嗡嗡……，使劲地较劲，为什么较劲呢？它没有那么大劲头儿了，它能不较劲吗？是不是啊？那怎么办呢？你就得给它减点儿了，上大坡儿的时候，你就别给它弄三吨了、四吨了，你就给它弄两吨，还能凑合，还能帮你几年。再等该淘汰了，年限到了，该淘汰了你不淘汰，你还想让它拉，甭说四吨了，一吨它都上不去了。只有在平道上还能凑凑呼呼给你拉拉，拉一吨左右还能给你拉拉，最后大结局，解体，完事儿，它就是这么回事儿。

说不让吃这个，不让吃那个，什么都让你吃，就是一样儿，你能吃吗？你说你消化得了吗？你消化不了，是越吃越多，是越吃越多，吃多了以后，排不出去，就存在肚子里了，存在肚子里以后，那就是毒素——“自家中毒”了！

他为什么血糖高、血压高啊，为什么呢？他消化不了的东西，你愣让他消化。他怎么办呢？所以说，他就得血压（升）高。消化不了，你就得糖尿病，就是必然的现象。是不是？这是必然现象。

所以说，一切毛病都是来自于你的口，来自你的口。那怎么办呢？那你就得忌口，就得忌口了，你要想长寿，要想舒服，你就得忌口。

十

在这个调理换食的过程当中，它绝对是“只给帮助，不给伤害”，请有缘人大胆地、放心地相信《本能论新解》吧，大胆地相信《本能论新解》吧，早换食、早受益，早换食、早受益，我顺便编了几句顺口溜：

鸡鸭鱼肉是毒药，糊涂死去不知道。

本能论是灵芝草，糊涂傻子看不到。

有缘早认本能论，舒服受益自逍遥。

有恩不报是蠢人，知恩报恩是正道。

感恩吧，我们要尊敬大自然，感恩《本能论新解》，谁救的你啊？《本能论新解》救的你。

要一切顺势利导，不能倒着来、逆着行。大自然就这规律，有刮风、下雨、下大雪、泛洪水的，它就有风调雨顺的，喜怒哀乐，它都是正常现象，所以说，一切你不要逆着它来。就是现在的新冠肺炎也是一样。

这个病，那个病，怎么弄的啊？它就是你身体本身消化不了，跟它拧着来，血压高，吃血压高的药；血糖高，吃降糖的药……，越降越完蛋，越吃药越完蛋。是药三分毒，你吃药（的时间）越长，完蛋的越早，是吧？所以说我们要尊畏大自然，感恩《本能论新解》，一切要顺势利导，不能逆着来！

在这里，最后我要感谢郭老爷子！感谢院长郭达成！感谢所有的指导老师，尤其是指导我的老师韩晓红。

谢谢！如有不妥之处，请批评指正。

梁克森

2021年12月3号

为什么浏览器User-agent总是有Mozilla字样

Fri, 05 Nov 2021 23:06:52 +0800

你是否好奇标识浏览器身份的User-Agent，为什么每个浏览器都有Mozilla字样？
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.94 Safari/537.36
Mozilla/5.0 (Linux; U; Android 4.1.2; zh-tw; GT-I9300 Build/JZO54K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)

故事还得从头说起，最初的主角叫NCSA Mosaic，简称Mosaic（马赛克），是1992年末位于伊利诺伊大学厄巴纳-香槟分校的国家超级计算机应用中心（National Center for Supercomputing Applications，简称NCSA）开发，并于1993年发布的一款浏览器。它自称“NCSA_Mosaic/2.0（Windows 3.1）”，Mosaic可以同时展示文字和图片，从此浏览器变得有趣多了。
然而很快就出现了另一个浏览器，这就是著名的Mozilla，中文名称摩斯拉。一说 Mozilla = Mosaic + Killer，意为Mosaic杀手，也有说法是 Mozilla = Mosaic & Godzilla，意为马赛克和哥斯拉，而Mozilla最初的吉祥物是只绿色大蜥蜴，后来更改为红色暴龙，跟哥斯拉长得一样。
但Mosaic对此非常不高兴，于是后来Mozilla更名为Netscape，也就是网景。Netscape自称“Mozilla/1.0(Win3.1)”，事情开始变得更加有趣。网景支持框架（frame），由于大家的喜欢框架变得流行起来，但是Mosaic不支持框架，于是网站管理员探测user agent，对Mozilla浏览器发送含有框架的页面，对非Mozilla浏览器发送没有框架的页面。
后来网景拿微软寻开心，称微软的Windows是“没有调试过的硬件驱动程序”。微软很生气，后果很严重。此后微软开发了自己的浏览器，这就是Internet Explorer，并希望它可以成为Netscape Killer。IE同样支持框架，但它不是Mozilla，所以它总是收不到含有框架的页面。微软很郁闷很快就沉不住气了，它不想等到所有的网站管理员都了解IE并且给IE发送含有框架的页面，它选择宣布IE是兼容Mozilla，并且模仿Netscape称IE为“Mozilla/1.22(compatible; MSIE 2.0; Windows 95)”，于是IE可以收到含有框架的页面了，所有微软的人都嗨皮了，但是网站管理员开始晕了。
因为微软将IE和Windows捆绑销售，并且把IE做得比Netscape更好，于是第一次浏览器血腥大战爆发了，结果是Netscape以失败退出历史舞台，微软更加嗨皮。但没想到Netscape居然以Mozilla的名义重生了，并且开发了Gecko，这次它自称为“Mozilla/5.0(Windows; U; Windows NT 5.0; en-US; rv:1.1) Gecko/20020826”。
Gecko是一款渲染引擎并且很出色。Mozilla后来变成了Firefox，并自称“Mozilla/5.0 (Windows; U; Windows NT 5.1; sv-SE; rv:1.7.5) Gecko/20041108 Firefox/1.0”。Firefox性能很出色，Gecko也开始攻城略地，其他新的浏览器使用了它的代码，并且将它们自己称为“Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.7.2) Gecko/20040825 Camino/0.8.1”，以及“Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.8) Gecko/20071008 SeaMonkey/1.0”，每一个都将自己装作Mozilla，而它们全都使用Gecko。
Gecko很出色，而IE完全跟不上它，因此user agent探测规则变了，使用Gecko的浏览器被发送了更好的代码，而其他浏览器则没有这种待遇。Linux的追随者对此很难过，因为他们编写了Konqueror，它的引擎是KHTML，他们认为KHTML和Gecko一样出色，但却因为不是Gecko而得不到好的页面，于是Konqueror为得到更好的页面开始将自己伪装成“like Gecko”，并自称为“Mozilla/5.0 (compatible; Konqueror/3.2; FreeBSD) (KHTML, like Gecko)”。自此user agent变得更加混乱。
这时更有Opera跳出来说“毫无疑问，我们应该让用户来决定他们想让我们伪装成哪个浏览器。”于是Opera干脆创建了菜单项让用户自主选择让Opera浏览器变成“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 9.51”，或者“Mozilla/5.0 (Windows NT 6.0; U; en; rv:1.8.1) Gecko/20061208 Firefox/2.0.0 Opera 9.51”，或者“Opera/9.51 (Windows NT 5.1; U; en)”。
后来苹果开发了Safari浏览器，并使用KHTML作为渲染引擎，但苹果加入了许多新的特性，于是苹果从KHTML另辟分支称之为WebKit，但它又不想抛弃那些为KHTML编写的页面，于是Safari自称为“Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-de) AppleWebKit/85.7 (KHTML, like Gecko) Safari/85.5”，这进一步加剧了user agent的混乱局面。
因为微软十分忌惮Firefox，于是IE重装上阵，这次它自称为“Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0) ”，并且渲染效果同样出色，但是需要网站管理员的指令它这么做才行。
再后来，谷歌开发了Chrome浏览器，Chrome使用Webkit作为渲染引擎，和Safari之前一样，它想要那些为Safari编写的页面，于是它伪装成了Safari。于是Chrome使用WebKit，并将自己伪装成Safari，WebKit伪装成KHTML，KHTML伪装成Gecko，最后所有的浏览器都伪装成了Mozilla，这就是为什么所有的浏览器User-Agent里都有Mozilla。Chrome自称为“Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.13 (KHTML, like Gecko) Chrome/0.2.149.27 Safari/525.13”。
因为以上这段历史，现在的User-Agent字符串变得一团糟，几乎根本无法彰显它最初的意义。追根溯源，微软可以说是这一切的始作俑者，但后来每一个人都在试图假扮别人，最终把User-Agent搞得混乱不堪。
一句话结论：因为网站开发者可能会因为你是某浏览器（这里是 Mozilla），所以输出一些特殊功能的程序代码（这里指好的特殊功能），所以当其它浏览器也支持这种好功能时，就试图去模仿 Mozilla 浏览器让网站输出跟 Mozilla 一样的内容，而不是输出被阉割功能的程序代码。大家都为了让网站输出最好的内容，都试图假装自己是 Mozilla 一个已经不存在的浏览器……
附各大浏览器诞生年表：
1993年1月23日：Mosaic
1994年12月：Netscape
1994年：Opera
1995年8月16日：Internet Explorer
1996年10月14日：Kongqueror
2003年1月7日：Safari
2008年9月2日：Chrome
注：本文转自简明现代魔法。

古人讲话都有内涵

Tue, 21 Sep 2021 10:23:45 +0800

古人讲话都有内涵

穷，

古人说一身清贫怎敢入繁华，两袖清风怎敢负佳人。

早安，

古文说，晨辉晓露，蔚然醒来，虽未同起，但求同心。

晚安，

古人说，山河已暮时已请安，虽不同枕，但求同梦。

我单身我骄傲，

古文说我自飘零，我自狂，犹如云鹤游四方。

一见如故，

古文说，与君初相识，犹如故人归天涯，明月新朝暮最相思。

说话要谨慎，

古人说良言一句三冬暖，恶语伤人六月寒。

想当年随便摆个姿势，就能迷倒万千少女，

古文说当时年少春衫薄，骑马倚斜桥，满楼红袖招。

今天很高兴，就想大醉一场

古文说，一生大笑能几回，斗酒相逢须醉倒。

大家直接拿瓶干，不能养鱼，不能赖

古文说，莫思身外无穷事，且尽身前。

有钱就是任性家有千金，行止由心

我想和你在一起

闲时与你立黄昏，灶前笑问粥可温

我们分手吧

我与春风皆过客，你携秋水揽星河

以前听不懂，现在不想懂

古人说

初闻不知曲中意，再听已是曲中人

-----------------------------------------------------------

你这么牛逼咋不上天呢

阁下何不同风起

扶摇直上九万里

你这么厉害你家里人知道吗？

腰中雄剑长三尺

君家阁下知不知

每天晚上都被自己帅得睡不着

玉树临风美少年

揽镜自顾夜不眠

A4腰一纸束楚腰

重要的事说三遍一眼难尽意，三令做五申

我心好累形若槁骸，心如死灰

也是醉了行迈靡靡，中心如醉

秀恩爱，死得快爱而不藏，自取灭亡

我喜欢的的人，不喜欢我我心向山，君心向水

主要看气质请君莫羡解语花，腹有诗书气自华

求心理阴影面积心如死灰，灰厚几何

我的内心几乎是崩溃的方寸淆（xiao2）乱，灵台崩催

-----------------------------------------------------------------

人情是纸张张薄，事事如棋局局新。贫在闹市无人问，富在深山有远亲。

不信但看宴中酒，杯杯先敬富贵人。门前拴上高头马，不是亲来也是亲。

门前放根讨饭棍，亲戚故友不上门。世上结交须黄金，黄金不多交不深。

纵令然诺暂相许，终是悠悠路行人。有钱有酒多兄弟，急难何曽见一人。

胜者为王败者寇，只重衣冠不重人。三贫三富不到老，十年兴败多少人。

在官三日人问我，离官三日我问人。古人不见今时月，今月曾经照古人。

近水楼台先得月，向阳花木易逢春。谁人背后无人说，谁人背后不说人。

带时间戳Ping

Tue, 20 Apr 2021 18:24:02 +0800

ping.exe -t 192.168.1.1 |Foreach{"{0} - {1}" -f (Get-Date),$_} > out.txt

需要用PowerShell

nc

Thu, 07 Jan 2021 16:50:38 +0800

测试udp端口是否通

nc -vunc 221.193.231.231 4500

nc -vunc 110.249.218.199 4500

nc -vunc 124.239.208.231 4500

network.zip

https://eternallybored.org/misc/netcat/

肝了三天，万字长文教你玩转 tcpdump，从此抓包不用愁

Wed, 01 Jul 2020 15:04:31 +0800

来自公众号：Python编程时光
链接：http://python.iswbm.com/en/latest/c10/c10_04.html

今天要给大家介绍的一个 Unix 下的一个 网络数据采集分析工具 -- Tcpdump，也就是我们常说的抓包工具。

与它功能类似的工具有 wireshark ，不同的是，wireshark 有图形化界面，而 tcpdump 则只有命令行。

由于我本人更习惯使用命令行的方式进行抓包，因此今天先跳过 wireshark，直接给大家介绍这个 tcpdump 神器。

这篇文章，我肝了好几天，借助于Linux 的 man 帮助命令，我把 tcpdump 的用法全部研究了个遍，才形成了本文。

不夸张的说，应该可以算是中文里把 tcpdump 讲得最清楚明白，并且最全的文章了（至少我从百度、谷歌的情况来看是这样），所以本文值得你收藏分享，就怕你错过了，就再也找不到像这样把 tcpdump 讲得直白而且特全的文章了。

在讲解之前，有两点需要声明：

第三节到第六节里的 tcpdump 命令示例，只为了说明参数的使用，并不一定就能抓到包，如果要精准抓到你所需要的包，需要配合第五节的逻辑逻辑运算符进行组合搭配。
不同 Linux 发行版下、不同版本的 tcpdump 可能有小许差异，本文是基于 CentOS 7.2 的 4.5.1 版本的tcpdump 进行学习的，若在你的环境中无法使用，请参考 man tcpdump 进行针对性学习。

1. tcpdump 核心参数图解

大家都知道，网络上的流量、数据包，非常的多，因此要想抓到我们所需要的数据包，就需要我们定义一个精准的过滤器，把这些目标数据包，从巨大的数据包网络中抓取出来。

所以学习抓包工具，其实就是学习如何定义过滤器的过程。

而在 tcpdump 的世界里，过滤器的实现，都是通过一个又一个的参数组合起来，一个参数不够精准，那就再加一个，直到我们能过滤掉无用的数据包，只留下我们感兴趣的数据包。

tcpdump 的参数非常的多，初学者在没有掌握 tcpdump 时，会对这个命令的众多参数产生很多的疑惑。

就比如下面这个命令，我们要通过 host 参数指定 host ip 进行过滤

$ tcpdump host 192.168.10.100

主程序 + 参数名+ 参数值 这样的组合才是我们正常认知里面命令行该有的样子。

可 tcpdump 却不走寻常路，我们居然还可以在 host 前再加一个限定词，来缩小过滤的范围？

$ tcpdump src host 192.168.10.100

从字面上理解，确实很容易理解，但是这不符合编写命令行程序的正常逻辑，导致我们会有所疑虑：

除了 src ，dst，可还有其它可以用的限定词？
src，host 应该如何理解它们，叫参数名？不合适，因为 src 明显不合适。

如果你在网上看到有关 tcpdump 的博客、教程，无一不是给你一个参数组合，告诉你这是实现了怎样的一个过滤器？这样的教学方式，很容易让你依赖别人的文章来使用 tcpdump，而不能将 tcpdump 这样神器消化，达到灵活应用，灵活搭配过滤器的效果。

上面加了 src 本身就颠覆了我们的认知，你可知道在 src 之前还可以加更多的条件，比如 tcp, udp, icmp 等词，在你之前的基础上再过滤一层。

$ tcpdump tcp src host 192.168.10.100

这种参数的不确定性，让大多数人对 tcpdump 的学习始终无法得其精髓。

因此，在学习 tcpdump 之前，我觉得有必要要先让你知道：tcpdump 的参数是如何组成的？这非常重要。

为此，我画了一张图，方便你直观的理解 tcpdump 的各种参数：

option 可选参数：将在后边一一解释，对应本文 第四节：可选参数解析
proto 类过滤器：根据协议进行过滤，可识别的关键词有：upd, udp, icmp, ip, ip6, arp, rarp,ether,wlan, fddi, tr, decnet
type 类过滤器：可识别的关键词有：host, net, port, portrange，这些词后边需要再接参数。
direction 类过滤器：根据数据流向进行过滤，可识别的关键字有：src, dst，同时你可以使用逻辑运算符进行组合，比如 src or dst

proto、type、direction 这三类过滤器的内容比较简单，也最常用，因此我将其放在最前面，也就是 第三节：常规过滤规则一起介绍。

而 option 可选的参数非常多，有的甚至也不经常用到，因此我将其放到后面一点，也就是 第四节：可选参数解析

当你看完前面六节，你对 tcpdump 的认识会上了一个台阶，至少能够满足你 80% 的使用需求。

你一定会问了，还有 20% 呢？

其实 tcpdump 还有一些过滤关键词，它不符合以上四种过滤规则，可能需要你单独记忆。关于这部分我会在 第六节：特殊过滤规则 里进行介绍。

2. 理解 tcpdump 的输出

2.1 输出内容结构

tcpdump 输出的内容虽然多，却很规律。

这里以我随便抓取的一个 tcp 包为例来看一下

21:26:49.013621 IP 172.20.20.1.15605 > 172.20.20.2.5920: Flags [P.], seq 49:97, ack 106048, win 4723, length 48

从上面的输出来看，可以总结出：

第一列：时分秒毫秒 21:26:49.013621
第二列：网络协议 IP
第三列：发送方的ip地址+端口号，其中172.20.20.1是 ip，而15605 是端口号
第四列：箭头 >，表示数据流向
第五列：接收方的ip地址+端口号，其中 172.20.20.2 是 ip，而5920 是端口号
第六列：冒号
第七列：数据包内容，包括Flags 标识符，seq 号，ack 号，win 窗口，数据长度 length，其中 [P.] 表示 PUSH 标志位为 1，更多标识符见下面

2.2 Flags 标识符

使用 tcpdump 抓包后，会遇到的 TCP 报文 Flags，有以下几种：

[S] : SYN（开始连接）
[P] : PSH（推送数据）
[F] : FIN （结束连接）
[R] : RST（重置连接）
[.] : 没有 Flag，由于除了 SYN 包外所有的数据包都有ACK，所以一般这个标志也可表示 ACK

3. 常规过滤规则

3.1 基于IP地址过滤：host

使用 host 就可以指定 host ip 进行过滤

$ tcpdump host 192.168.10.100

数据包的 ip 可以再细分为源ip和目标ip两种

# 根据源ip进行过滤
$ tcpdump -i eth2 src 192.168.10.100

# 根据目标ip进行过滤
$ tcpdump -i eth2 dst 192.168.10.200

3.2 基于网段进行过滤：net

若你的ip范围是一个网段，可以直接这样指定

$ tcpdump net 192.168.10.0/24

网段同样可以再细分为源网段和目标网段

# 根据源网段进行过滤
$ tcpdump src net 192.168

# 根据目标网段进行过滤
$ tcpdump dst net 192.168

3.3 基于端口进行过滤：port

使用 port 就可以指定特定端口进行过滤

$ tcpdump port 8088

端口同样可以再细分为源端口，目标端口

# 根据源端口进行过滤
$ tcpdump src port 8088

# 根据目标端口进行过滤
$ tcpdump dst port 8088

如果你想要同时指定两个端口你可以这样写

$ tcpdump port 80 or port 8088

但也可以简写成这样

$ tcpdump port 80 or 8088

如果你的想抓取的不再是一两个端口，而是一个范围，一个一个指定就非常麻烦了，此时你可以这样指定一个端口段。

$ tcpdump portrange 8000-8080
$ tcpdump src portrange 8000-8080
$ tcpdump dst portrange 8000-8080

对于一些常见协议的默认端口，我们还可以直接使用协议名，而不用具体的端口号

比如 http == 80，https == 443 等

$ tcpdump tcp port http

3.4 基于协议进行过滤：proto

常见的网络协议有：tcp, udp, icmp, http, ip,ipv6 等

若你只想查看 icmp 的包，可以直接这样写

$ tcpdump icmp

protocol 可选值：ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat, mopdl, moprc, iso, stp, ipx, or netbeui

3.5 基本IP协议的版本进行过滤

当你想查看 tcp 的包，你也许会这样子写

$ tcpdump tcp

这样子写也没问题，就是不够精准，为什么这么说呢？

ip 根据版本的不同，可以再细分为 IPv4 和 IPv6 两种，如果你只指定了 tcp，这两种其实都会包含在内。

那有什么办法，能够将 IPv4 和 IPv6 区分开来呢？

很简单，如果是 IPv4 的 tcp 包，就这样写（友情提示：数字 6 表示的是 tcp 在ip报文中的编号。）

$ tcpdump 'ip proto tcp'

# or

$ tcpdump ip proto 6

# or

$ tcpdump 'ip protochain tcp'

# or 
$ tcpdump ip protochain 6

而如果是 IPv6 的 tcp 包，就这样写

$ tcpdump 'ip6 proto tcp'

# or

$ tcpdump ip6 proto 6

# or

$ tcpdump 'ip6 protochain tcp'

# or 
$ tcpdump ip6 protochain 6

关于上面这几个命令示例，有两点需要注意：

跟在 proto 和 protochain 后面的如果是 tcp, udp, icmp ，那么过滤器需要用引号包含，这是因为 tcp,udp, icmp 是 tcpdump 的关键字。
跟在ip 和 ip6 关键字后面的 proto 和 protochain 是两个新面孔，看起来用法类似，它们是否等价，又有什么区别呢？

关于第二点，网络上没有找到很具体的答案，我只能通过 man tcpdump 的提示，给出自己的个人猜测，但不保证正确。

proto 后面跟的 <protocol> 的关键词是固定的，只能是 ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat, mopdl, moprc, iso, stp, ipx, or netbeui 这里面的其中一个。

而 protochain 后面跟的 protocol 要求就没有那么严格，它可以是任意词，只要 tcpdump 的 IP 报文头部里的 protocol 字段为 <protocol> 就能匹配上。

理论上来讲，下面两种写法效果是一样的

$ tcpdump 'ip && tcp'
$ tcpdump 'ip proto tcp'

同样的，这两种写法也是一样的

$ tcpdump 'ip6 && tcp'
$ tcpdump 'ip6 proto tcp'

4. 可选参数解析

4.1 设置不解析域名提升速度

-n：不把ip转化成域名，直接显示 ip，避免执行 DNS lookups 的过程，速度会快很多
-nn：不把协议和端口号转化成名字，速度也会快很多。
-N：不打印出host 的域名部分.。比如,，如果设置了此选现，tcpdump 将会打印'nic' 而不是 'nic.ddn.mil'.

4.2 过滤结果输出到文件

使用 tcpdump 工具抓到包后，往往需要再借助其他的工具进行分析，比如常见的 wireshark 。

而要使用wireshark ，我们得将 tcpdump 抓到的包数据生成到文件中，最后再使用 wireshark 打开它即可。

使用 -w 参数后接一个以 .pcap 后缀命令的文件名，就可以将 tcpdump 抓到的数据保存到文件中。

$ tcpdump icmp -w icmp.pcap

4.3 从文件中读取包数据

使用 -w 是写入数据到文件，而使用 -r 是从文件中读取数据。

读取后，我们照样可以使用上述的过滤器语法进行过滤分析。

$ tcpdump icmp -r all.pcap

4.4 控制详细内容的输出

-v：产生详细的输出. 比如包的TTL，id标识，数据包长度，以及IP包的一些选项。同时它还会打开一些附加的包完整性检测，比如对IP或ICMP包头部的校验和。
-vv：产生比-v更详细的输出. 比如NFS回应包中的附加域将会被打印, SMB数据包也会被完全解码。（摘自网络，目前我还未使用过）
-vvv：产生比-vv更详细的输出。比如 telent 时所使用的SB, SE 选项将会被打印, 如果telnet同时使用的是图形界面，其相应的图形选项将会以16进制的方式打印出来（摘自网络，目前我还未使用过）

4.5 控制时间的显示

-t：在每行的输出中不输出时间
-tt：在每行的输出中会输出时间戳
-ttt：输出每两行打印的时间间隔(以毫秒为单位)
-tttt：在每行打印的时间戳之前添加日期的打印（此种选项，输出的时间最直观）

4.6 显示数据包的头部

-x：以16进制的形式打印每个包的头部数据（但不包括数据链路层的头部）
-xx：以16进制的形式打印每个包的头部数据（包括数据链路层的头部）
-X：以16进制和 ASCII码形式打印出每个包的数据(但不包括连接层的头部)，这在分析一些新协议的数据包很方便。
-XX：以16进制和 ASCII码形式打印出每个包的数据(包括连接层的头部)，这在分析一些新协议的数据包很方便。

4.7 过滤指定网卡的数据包

-i：指定要过滤的网卡接口，如果要查看所有网卡，可以 -i any

4.8 过滤特定流向的数据包

-Q：选择是入方向还是出方向的数据包，可选项有：in, out, inout，也可以使用 --direction=[direction] 这种写法

4.9 其他常用的一些参数

-A：以ASCII码方式显示每一个数据包(不显示链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据
-l : 基于行的输出，便于你保存查看，或者交给其它工具分析
-q : 简洁地打印输出。即打印很少的协议相关信息, 从而输出行都比较简短.
-c : 捕获 count 个包 tcpdump 就退出
-s : tcpdump 默认只会截取前 96 字节的内容，要想截取所有的报文内容，可以使用 -s number， number 就是你要截取的报文字节数，如果是 0 的话，表示截取报文全部内容。
-S : 使用绝对序列号，而不是相对序列号
-C：file-size，tcpdump 在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-size. 如果超过了, 将关闭此文件,另创一个文件继续用于原始数据包的记录. 新创建的文件名与-w 选项指定的文件名一致, 但文件名后多了一个数字.该数字会从1开始随着新创建文件的增多而增加. file-size的单位是百万字节(nt: 这里指1,000,000个字节,并非1,048,576个字节, 后者是以1024字节为1k, 1024k字节为1M计算所得, 即1M=1024 ＊ 1024 ＝ 1,048,576)
-F：使用file 文件作为过滤条件表达式的输入, 此时命令行上的输入将被忽略.

4.10 对输出内容进行控制的参数

-D : 显示所有可用网络接口的列表
-e : 每行的打印输出中将包括数据包的数据链路层头部信息
-E : 揭秘IPSEC数据
-L ：列出指定网络接口所支持的数据链路层的类型后退出
-Z：后接用户名，在抓包时会受到权限的限制。如果以root用户启动tcpdump，tcpdump将会有超级用户权限。
-d：打印出易读的包匹配码
-dd：以C语言的形式打印出包匹配码.
-ddd：以十进制数的形式打印出包匹配码

5. 过滤规则组合

有编程基础的同学，对于下面三个逻辑运算符应该不陌生了吧

and：所有的条件都需要满足，也可以表示为 &&
or：只要有一个条件满足就可以，也可以表示为 ||
not：取反，也可以使用 !

举个例子，我想需要抓一个来自10.5.2.3，发往任意主机的3389端口的包

$ tcpdump src 10.5.2.3 and dst port 3389

当你在使用多个过滤器进行组合时，有可能需要用到括号，而括号在 shell 中是特殊符号，因为你需要使用引号将其包含。例子如下：

$ tcpdump 'src 10.0.2.4 and (dst port 3389 or 22)'

而在单个过滤器里，常常会判断一条件是否成立，这时候，就要使用下面两个符号

=：判断二者相等
==：判断二者相等
!=：判断二者不相等

当你使用这两个符号时，tcpdump 还提供了一些关键字的接口来方便我们进行判断，比如

if：表示网卡接口名、
proc：表示进程名
pid：表示进程 id
svc：表示 service class
dir：表示方向，in 和 out
eproc：表示 effective process name
epid：表示 effective process ID

比如我现在要过滤来自进程名为 nc 发出的流经 en0 网卡的数据包，或者不流经 en0 的入方向数据包，可以这样子写

$ tcpdump "( if=en0 and proc =nc ) || (if != en0 and dir=in)"

6. 特殊过滤规则

5.1 根据 tcpflags 进行过滤

通过上一篇文章，我们知道了 tcp 的首部有一个标志位。

TCP 报文首部

tcpdump 支持我们根据数据包的标志位进行过滤

proto [ expr:size ]

proto：可以是熟知的协议之一（如ip，arp，tcp，udp，icmp，ipv6）
expr：可以是数值，也可以是一个表达式，表示与指定的协议头开始处的字节偏移量。
size：是可选的，表示从字节偏移量开始取的字节数量。

接下来，我将举几个例子，让人明白它的写法，不过在那之前，有几个点需要你明白，这在后面的例子中会用到：

1、tcpflags 可以理解为是一个别名常量，相当于 13，它代表着与指定的协议头开头相关的字节偏移量，也就是标志位，所以 tcp[tcpflags] 等价于 tcp[13] ，对应下图中的报文位置。

2、tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg 这些同样可以理解为别名常量，分别代表 1，2，4，8，16，32，64。这些数字是如何计算出来的呢？

以 tcp-syn 为例，你可以参照下面这张图，计算出来的值是就是 2

由于数字不好记忆，所以一般使用这样的“别名常量”表示。

因此当下面这个表达式成立时，就代表这个包是一个 syn 包。

tcp[tcpflags] == tcp-syn

要抓取特定数据包，方法有很多种。

下面以最常见的 syn包为例，演示一下如何用 tcpdump 抓取到 syn 包，而其他的类型的包也是同样的道理。

据我总结，主要有三种写法：

1、第一种写法：使用数字表示偏移量

$ tcpdump -i eth0 "tcp[13] & 2 != 0"

2、第二种写法：使用别名常量表示偏移量

$ tcpdump -i eth0 "tcp[tcpflags] & tcp-syn != 0"

3、第三种写法：使用混合写法

$ tcpdump -i eth0 "tcp[tcpflags] & 2 != 0" 

# or

$ tcpdump -i eth0 "tcp[13] & tcp-syn != 0"

如果我想同时捕获多种类型的包呢，比如 syn + ack 包

1、第一种写法

$ tcpdump -i eth0 'tcp[13] == 2 or tcp[13] == 16'

2、第二种写法

$ tcpdump -i eth0 'tcp[tcpflags] == tcp-syn or tcp[tcpflags] == tcp-ack'

3、第三种写法

$ tcpdump -i eth0 "tcp[tcpflags] & (tcp-syn|tcp-ack) != 0"

4、第四种写法：注意这里是单个等号，而不是像上面一样两个等号，18（syn+ack） = 2（syn） + 16（ack）

$ tcpdump -i eth0 'tcp[13] = 18'

# or

$ tcpdump -i eth0 'tcp[tcpflags] = 18'

tcp 中有类似 tcp-syn 的别名常量，其他协议也是有的，比如 icmp 协议，可以使用的别名常量有

icmp-echoreply, icmp-unreach, icmp-sourcequench, 
icmp-redirect, icmp-echo, icmp-routeradvert,
icmp-routersolicit, icmp-timx-ceed, icmp-paramprob, 
icmp-tstamp, icmp-tstampreply,icmp-ireq, 
icmp-ireqreply, icmp-maskreq, icmp-maskreply

5.2 基于包大小进行过滤

若你想查看指定大小的数据包，也是可以的

$ tcpdump less 32 
$ tcpdump greater 64 
$ tcpdump <= 128

5.3 根据 mac 地址进行过滤

例子如下，其中 ehost 是记录在 /etc/ethers 里的 name

$ tcpdump ether host [ehost]
$ tcpdump ether dst    [ehost]
$ tcpdump ether src    [ehost]

5.4 过滤通过指定网关的数据包

$ tcpdump gateway [host]

5.5 过滤广播/多播数据包

$ tcpdump ether broadcast
$ tcpdump ether multicast

$ tcpdump ip broadcast
$ tcpdump ip multicast

$ tcpdump ip6 multicast

7. 如何抓取到更精准的包？

先给你抛出一个问题：如果我只想抓取 HTTP 的 POST 请求该如何写呢？

如果只学习了上面的内容，恐怕你还是无法写法满足这个抓取需求的过滤器。

在学习之前，我先给出答案，然后再剖析一下，这个过滤器是如何生效的，居然能让我们对包内的内容进行判断。

$ tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4]'

命令里的可选参数，在前面的内容里已经详细讲过了。这里不再细讲。

本节的重点是引号里的内容，看起来很复杂的样子。

将它逐一分解，我们只要先理解了下面几种用法，就能明白

tcp[n]：表示 tcp 报文里第 n 个字节
tcp[n:c]：表示 tcp 报文里从第n个字节开始取 c 个字节，tcp[12:1] 表示从报文的第12个字节（因为有第0个字节，所以这里的12其实表示的是13）开始算起取一个字节，也就是 8 个bit。查看 tcp 的报文首部结构，可以得知这 8 个bit 其实就是下图中的红框圈起来的位置，而在这里我们只要前面 4个bit，也就是实际数据在整个报文首部中的偏移量。
&：是位运算里的 and 操作符，比如 0011 & 0010 = 0010
>>：是位运算里的右移操作，比如 0111 >> 2 = 0011
0xf0：是 10 进制的 240 的 16 进制表示，但对于位操作来说，10进制和16进制都将毫无意义，我们需要的是二进制，将其转换成二进制后是：11110000，这个数有什么特点呢？前面个 4bit 全部是 1，后面4个bit全部是0，往后看你就知道这个特点有什么用了。

分解完后，再慢慢合并起来看

1、tcp[12:1] & 0xf0 其实并不直观，但是我们将它换一种写法，就好看多了，假设 tcp 报文中的第12 个字节是这样组成的 10110000，那么这个表达式就可以变成 10110110 && 11110000 = 10110000，得到了 10110000 后，再进入下一步。

2、tcp[12:1] & 0xf0) >> 2 ：如果你不理解 tcp 报文首部里的数据偏移，请先点击这个前往我的上一篇文章，搞懂数据偏移的意义，否则我保证你这里会绝对会听懵了。

tcp[12:1] & 0xf0) >> 2 这个表达式实际是 (tcp[12:1] & 0xf0) >> 4 ) << 2 的简写形式。所以要搞懂 tcp[12:1] & 0xf0) >> 2 只要理解了(tcp[12:1] & 0xf0) >> 4 ) << 2 就行了。

从上一步我们算出了 tcp[12:1] & 0xf0 的值其实是一个字节，也就是 8 个bit，但是你再回去看下上面的 tcp 报文首部结构图，表示数据偏移量的只有 4个bit，也就是说上面得到的值 10110000，前面 4 位（1011）才是正确的偏移量，那么为了得到 1011，只需要将 10110000 右移4位即可，也就是 tcp[12:1] & 0xf0) >> 4，至此我们是不是已经得出了实际数据的正确位置呢，很遗憾还没有，前一篇文章里我们讲到 Data Offset 的单位是 4个字节，因为要将 1011 乘以 4才可以，除以4在位运算中相当于左移2位，也就是 <<2，与前面的 >>4 结合起来一起算的话，最终的运算可以简化为 >>2

至此，我们终于得出了实际数据开始的位置是 tcp[12:1] & 0xf0) >> 2 （单位是字节）。

找到了数据的起点后，可别忘了我们的目的是从数据中打到 HTTP 请求的方法，是 GET 呢还是 POST ，或者是其他的？

有了上面的经验，我们自然懂得使用 tcp[((tcp[12:1] & 0xf0) >> 2):4] 从数据开始的位置再取出四个字节，然后将结果与 GET （注意 GET最后还有个空格）的 16进制写法（也就是 0x47455420）进行比对。

0x47   -->   71    -->  G
0x45   -->   69    -->  E
0x54   -->   84    -->  T
0x20   -->   32    -->  空格

如果相等，则该表达式为True，tcpdump 认为这就是我们所需要抓的数据包，将其输出到我们的终端屏幕上。

8. 抓包实战应用例子

以下例子摘自：https://fuckcloudnative.io/posts/tcpdump-examples/

8.1 提取 HTTP 的 User-Agent

从 HTTP 请求头中提取 HTTP 用户代理：

$ tcpdump -nn -A -s1500 -l | grep "User-Agent:"

通过 egrep 可以同时提取用户代理和主机名（或其他头文件）：

$ tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'

8.2 抓取 HTTP GET 和 POST 请求

抓取 HTTP GET 请求包：

$ tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

# or

$ tcpdump -vvAls0 | grep 'GET'

可以抓取 HTTP POST 请求包：

$ tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

# or 

$ tcpdump -vvAls0 | grep 'POST'

注意：该方法不能保证抓取到 HTTP POST 有效数据流量，因为一个 POST 请求会被分割为多个 TCP 数据包。

8.3 找出发包数最多的 IP

找出一段时间内发包最多的 IP，或者从一堆报文中找出发包最多的 IP，可以使用下面的命令：

$ tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

cut -f 1,2,3,4 -d '.' : 以 . 为分隔符，打印出每行的前四列。即 IP 地址。
sort | uniq -c : 排序并计数
sort -nr : 按照数值大小逆向排序

8.4 抓取 DNS 请求和响应

DNS 的默认端口是 53，因此可以通过端口进行过滤

$ tcpdump -i any -s0 port 53

8.5 切割 pcap 文件

当抓取大量数据并写入文件时，可以自动切割为多个大小相同的文件。例如，下面的命令表示每 3600 秒创建一个新文件 capture-(hour).pcap，每个文件大小不超过 200*1000000 字节：

$ tcpdump  -w /tmp/capture-%H.pcap -G 3600 -C 200

这些文件的命名为 capture-{1-24}.pcap，24 小时之后，之前的文件就会被覆盖。

8.6 提取 HTTP POST 请求中的密码

从 HTTP POST 请求中提取密码和主机名：

$ tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

8.7 提取 HTTP 请求的 URL

提取 HTTP 请求的主机名和路径：

$ tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

8.8 抓取 HTTP 有效数据包

抓取 80 端口的 HTTP 有效数据包，排除 TCP 连接建立过程的数据包（SYN / FIN / ACK）：

$ tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

8.9 结合 Wireshark 进行分析

通常 Wireshark（或 tshark）比 tcpdump 更容易分析应用层协议。一般的做法是在远程服务器上先使用 tcpdump 抓取数据并写入文件，然后再将文件拷贝到本地工作站上用 Wireshark 分析。

还有一种更高效的方法，可以通过 ssh 连接将抓取到的数据实时发送给 Wireshark 进行分析。以 MacOS 系统为例，可以通过 brew cask install wireshark 来安装，然后通过下面的命令来分析：

$ ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - not port 22' | /Applications/Wireshark.app/Contents/MacOS/Wireshark -k -i -

例如，如果想分析 DNS 协议，可以使用下面的命令：

$ ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - port 53' | /Applications/Wireshark.app/Contents/MacOS/Wireshark -k -i -

抓取到的数据：

-c 选项用来限制抓取数据的大小。如果不限制大小，就只能通过 ctrl-c 来停止抓取，这样一来不仅关闭了 tcpdump，也关闭了 wireshark。

到这里，我已经将我所知道的 tcpdump 的用法全部说了一遍，如果你有认真地看完本文，相信会有不小的收获，掌握一个上手的抓包工具，对于以后我们学习网络、分析网络协议、以及定位网络问题，会很有帮助，而 tcpdump 是我推荐的一个抓包工具。

●编号535，输入编号直达本文

●输入m获取文章目录

推荐↓↓↓

Linux学习

更多推荐《25个技术类公众微信》

涵盖：程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。

绝了！一个rm-rf把公司整个数据库删没了...

Tue, 31 Mar 2020 16:56:35 +0800

点击上方“CSDN技术社区”关注我们

获取IT行业新鲜资讯

作者：zhouyu

经历了两天不懈努力，终于恢复了一次误操作删除的生产服务器数据。

对本次事故过程和解决办法记录在此，警醒自己，也提示别人莫犯此错。

也希望遇到问题的朋友能找到一丝灵感解决问题。

事故背景

安排一个妹子在一台生产服务器上安装 Oracle，妹子边研究边安装，感觉装的不对，准备卸载重新安装。

从网上找到卸载方法，其中要执行一行命令删除 Oracle 的安装目录，命令如下：

rm -rf $ORACLE_BASE/*

如果 ORACLE_BASE 这个变量没有赋值，那命令就变成了：

rm -rf /*

等等，妹子使用的可是 Root 账户啊。就这样，把整个盘的文件全部删除了，包括应用 Tomcat、MySQL 数据库 and so on......

MySQL 数据库不是在运行吗？Linux 能删除正在执行的文件?反正是彻底删除了，最后还剩一个 Tomcat 的 Log 文件，估计是文件过大，一时没有删除成功。

看着妹子自责的眼神，又是因为这事是我安排她做的，也没有跟她讲清厉害关系，没有任何培训，责任只能一个人背了，况且怎么能让美女背负这个责任呢？

打电话到机房，将盘挂到另一台服务器上，SSH 上去查看文件全部被清，这台服务器运行的可是一个客户的生产系统啊，已经运行大半年了，得尽快恢复啊。

于是找来脱机备份的数据库，发现备份文件只有 1KB，里面只有几行熟悉的 mysqldump 注释（难道是 Crontab 执行的备份脚本有问题），最接近的备份也是 2013 年 12 月份的了，真是屋漏偏逢连夜雨啊。

想起来一位领导说过的案例：当一个生产系统挂掉以后，发现所有备份都有问题，刻录的光盘也有划痕，磁带机也坏了（一个业界前辈，估计以前还用光盘做备份了），没想到今天真的应验到我的身上了，怎么办？

部门领导知道情况后，已经做了最坏的 B 计划：领导亲自带队和产品 AA 周日赶到客户所在的地市，星期一去领导层沟通；BB 和 CC 去客户管理员那边想办法说服客户......

救命稻草：ext3grep

赶快到网上去查资料进行误删数据恢复，还真找到一款 ext3grep 能够恢复通过 rm -rf 删除的文件，我们磁盘也是 ext3 格式，且网上有不少的成功案例。

于是燃起了一丝希望，赶快对盘 umount，防止重新写入补删文件扇区。下载 ext3grep，安装（编译安装过程艰辛暂且不表）。

先执行扫描文件名命令：

ext3grep /dev/vgdata/LogVol00 --dump-names

打印出了所有被删除文件及路径，心中狂喜，不用执行 B 计划了，文件都在呢。

这款软件不能按目录恢复文件，只能执行恢复全部命令：

ext3grep /dev/vgdata/LogVol00 --restore-all

结果当前盘空间不足，没办法只能恢复文件，尝试了几个文件，居然部分成功部分失败：

ext3grep /dev/vgdata/LogVol00 --restore-file var/lib/mysql/aqsh/tb_b_attench.MYD

心里不禁一凉，难道是删除磁盘上被写过文件了？恢复机率不大了啊，能恢复几个算几个吧，说不定重要数据文件刚好在能恢复的 MYD 文件中。

于是先将所有文件名重定向到一个文件文件中：

ext3grep /dev/vgdata/LogVol00 --dump-names >/usr/allnames.txt

过滤出来所有 MySQL 数据库的文件名存成 mysqltbname.txt。

编写脚本恢复文件：

while read LINE
do
    echo "begin to restore file " $LINE
    ext3grep /dev/vgdata/LogVol00 --restore-file $LINE
    if [ $? != 0 ]
    then
        echo "restore failed, exit"
       # exit 1
    fi
done < ./mysqltbname.txt

执行，大概运行了 20 分钟，恢复了 40 多个文件，但不够啊，我们将近 100 张表，每张表 frm，myd，myi 三个文件，怎么说也有 300 多个左右啊！

将找回来的文件附到现有数据库上，更要文件权限为 777 后，重启 MySQL，也算是找回一部分数据了，但客户重要的考勤签到数据、手机端上报数据（据说客户按这些数据做员工绩效的）还没找回来啊。

咋办？中间又试了另一款工具 extundelete，跟 ext3grep 语法基本一致，原理应该也一样了，但是据说能按目录恢复。

好吧，试一试：

extundelete /dev/vgdata/LogVol00 --restore-directory var/lib/mysql/aqsh

果然不出所料，恢复不出来！！！！！！！！那些文件已被破坏了。跟领导汇报，执行 B 计划吧......无奈之下下班回家。（周末了，回去休息一下，想想办法吧）

灵机一动：Binlog

第二天早晨一早就醒了（心里有事啊），背上电脑，去公司（这个周末算是报销了，不挨批，通报，罚款，开除就不错了，还过什么周末啊）。

依旧运行 ext3grep，extundelete，也就那几招啊，把系统架到测试服务器上，看看数据能不能想办法补一补吧。

在测试服务器上进行 mysqldump，恢复文件，覆盖恢复回来的文件，给文件加权限，重启 MySQL。

Wait，Wait，不是有 Binlog 吗？我们服务都要求开启 Binlog，说不定能通过 Binlog 里恢复数据呢？

于是从 Dump 出来的文件名里找到 Binlog 的文件，一共三个：

mysql-binlog0001
mysql-bin.000009
mysql-bin.000010

恢复一下 0001：

ext3grep /dev/vgdata/LogVol00 --restore-file var/lib/mysql/mysql-bin.000001

居然失败了......再看另两个文件，mysql-bin.000010 大概几百 MB，应该靠谱一点，执行还原命令，居然成功了！

赶快 SCP 到测试服务器。执行 Binlog 还原：

mysqlbinlog /usr/mysql-bin.000010 | mysql -uroot -p

输入密码，卡住了（好现象），经过漫长的等待，终于结束了。打开应用，哦，感谢 CCTV，MTV，数据回来了！

后记

也希望谨记此次事故，以后不再犯同样的错误。事故反思如下：

本次安排 MM 进行服务器维护时没有提前对她进行说明厉害情况，自己也未重视，管理混乱，流程混乱。一个在线的生产系统，任何一个改动一定要先谋而后动。
自动备份出现问题，没有任何人检查。脱机备份人员每次从服务器上下载 1K 的文件却从未重视。需要明确大家在工作岗位上的责任。
事故发生后，没有及时发现，造成部分数据写入磁盘，造成不可恢复问题。需要编写应用监控程序，服务一旦有异常，短信告警相关责任人。
根据评论提醒，再加一条：不能使用 Root 用户来操作。应该在服务器上开设不同权限级别的用户。

通过本次事故

分享下本文所用到的工具链接：

1.https://code.google.com/p/ext3grep/

2.http://extundelete.sourceforge.net/

功能跟 ext3grep 差不多，原理应该也差不多。编译安装依赖包比较多，可以到网上搜索如何安装。【可惜的是作者给出的 howto 被墙了，我 FQ 将 howto 的 pdf 文档下载下来了，读完后你将会对 Linux 的文件系统有进一步的认识。】

这个工具有一个 Bug，出错后不会向下执行：

ext3grep: init_directories.cc:534: void init_directories(): Assertion `lost_plus_found_directory_iter != all_directories.end()' failed.

从而造成恢复失败，作者放出了一个补丁，下载地址：补丁下载。

最后希望各位同行的小伙伴们能谨记本文事件，开心敲代码，永远不出错～

这篇文章，24小时删除

Mon, 17 Feb 2020 21:36:07 +0800

这是这个系列的第二篇文章，如同第一篇一样，这篇文章会在24小时后删除。

之所以如此极端，因为我自认为这篇文章很有价值，不以这种方式，大家即使看了，也只会一带而过，不会真的汲取到营养。

这篇文章涉及的关键词包括，焦虑，自我，有条件自尊，无条件自尊，自我苛责，自我接纳。

以下开始正文。

记得去年12月份开情绪训练营，当时我承诺，等训练营结束后，就恢复正常更新，当时是自信满满，因为我知道，一直纠缠我的情绪问题，会得到根本解决，我也会从情绪困扰中解放出来，转而关注自己的心理学自媒体事业。

我是这样打算的。

当我真的做完情绪训练营，对情绪做了系统的梳理，看清楚了情绪的本质，掌握了情绪调节的方法，对情绪有了非常高的效能感，我终于可以掌控自己的情绪了，不再畏惧情绪，甚至，我有信心，即使再次陷入抑郁，我也能够再次走出来。

我终于可以走出情绪的困惑，可以尽情的施展自己，尽情的享受生活，尽情的打拼事业。

但是，这样的洒脱才刚开始，我突然发现，一个新的困扰慢慢浮现。

我发现，我居然有了一点社交焦虑，而且这个问题变得越来越困扰我。

虽然我掌握了情绪工具，我知道如何调节焦虑，如何让自己平静下来，但面对社交场合，我还是会焦虑，会不自然。

因为，焦虑，本质上预示着即将带来的威胁，如果威胁是客观的，那么焦虑也就是客观的，必然的，不以我是否掌握了情绪能力为转移。

我为什么会突然社交焦虑呢？

这让我百思不得其解。

要知道，这么多年，我从来没有被社交焦虑困扰过，也许我不太擅长社交，但从来没有为此焦虑过。

我开始阅读社交类书籍，了解社交的本质，提升社交的技能，克服社交的焦虑，一如我之前学习掌握情绪技能的过程。

所以，在情绪训练营结束后，我拖延了更新。

我幻想着，等我解决社交问题，我就可以恢复更新了。

我开始了人际社交理论的学习和实践。一切有条不紊的推进，对人际本质的了解越来越深刻，人际技能的修炼也越来越得心应手。

直到有一次，一个朋友找我办事，一个可以决定他人生重大抉择的事，他来求我帮忙，他是有求于我的，但是，在交谈时，居然是我焦虑，甚至还有一点取悦于他。

这是多不可思议的事情。

我居然要取悦一个来求助我的人。

事有反常必有妖孽。

我终于意识到，我的问题不仅仅在于社交技能，社交技巧，在这些背后，有一个更大的问题。

焦虑，提示即将到来的威胁。

两个人聊天，什么样的人会让自己焦虑？

是与比自己跟强大的人，能够威胁到自己的人。

而我，居然害怕一个求助于我，一个比我软弱的他人。

那在我的心中，我自己的位置，是何等的卑微，何等的渺小！

这就是心目中的我，如此的渺小，脆弱，软弱，可怜，不堪一击，面对他人瑟瑟发抖。

这就是心目中的我，很多事情就讲得通了。

我非常恐惧抑郁，自认为在抑郁面前不堪一击，所以，我拼命的学习情绪知识，洞察情绪的本质，掌握情绪调节的方法。

经过两年的沉淀，我不再畏惧情绪了，具备了强大的情绪能力，手持情绪利剑，对情绪不可一世。

但在我内心深处，我还是如此渺小，脆弱。

所以，当我的注意力从情绪转移，开始关注他人，关注事业，我看到他人的“强大”与“可怕”，我又焦虑了，表现为社交焦虑。

一个新的害怕凸显出来。

突然想起我的过往生活，我害怕过很多东西，都是一个害怕结束，一个新的害怕开始。

我最早容易脸红，后来通过一年多的心理调节克服后，我又特别害怕鼻炎，在经过两年多的心理、生理调节克服后，我又开始害怕咽炎，在经过心理调节克服后，我又害怕情绪。

【大家对鼻炎，咽炎与心理的关系可能不是很了解，这两种病有生理因素，但也有很强烈的心理因素，甚至可以完全由心理因素诱发，现代的疾病理论是“心理-生理-社会”模型，即一个疾病包括三个方面因素，比如鼻炎，很多人平时都没事，但越是害怕在社交场合复发，越是会复发，这多是心理、社会因素导致的，通过调节这两方面因素，不仅可以缓解鼻炎，咽炎症状，甚至可以修复生理损伤。相信这样的洞察对鼻炎、咽炎患者有所帮助。】

而在情绪终于调节好后，我又开始害怕社交。

一个害怕好不容易结束，总会又出现一个新的威胁，新的焦虑来填补。

前赴后继，不堪其扰！

本质上，就是因为，我内心中的自己太渺小了，太脆弱，太软弱，太弱不禁风。

所以，每面对一个领域，一个挑战，一个焦虑，我就给自己打磨一把利剑防身壮胆，结果就是，我手持十八般兵器，样样精通。

在他人看来，我很厉害，掌握了那么多技能，但只有自己才知道，内心深处是多么的恐慌，焦虑，不安。

面对生活，我永远缺少一把武器。

心理咨询一直讲，一个健康的人，一个幸福的人，最重要的是处理好三个关系：

我与我的关系；

我与他人的关系；

我与世界的关系。

其中最重要的是我与我的关系，它是后两者的基础。

这些话我听的耳朵都起茧子了，自己也耳熟能详，但从来没有像这一刻深刻的理解这些话，尤其是“我与我的关系”。

【这也是全文的核心重点，构建好最为核心的“我与我的关系”，获得真正的强大，自尊，以及内心宁静。】

什么是我与我的关系？

这是心理咨询的大白话，翻译成心理学的用语，就是心理学中两个“我”的辩证关系，一个是主我（I），一个是宾我（Me），即主我（I）与宾我（Me）的关系。

这两个“我”不是很好理解，直到最近查阅了社会心理学的经典著作《自我》，终于透彻的理解了这句话。【也强烈推荐这本书】

I see Me。

I是主我；

Me是宾我。

I+Me=完整的自我。

这里的主我（I），就是我们的意识，是我们清醒时刻对于自己的认识和描述。

比如经典的哲学问题，我是谁，我想干什么，这回答的就是主我（I）的问题，比如说，你想考什么样的学校，找一份什么样的工作，渴望什么样的伴侣，追求怎样的事业，想要过上什么样的的人生。

等等，这些其实都是主我（I）关注的内容，这些回答也就组成了主我（I）。

一句话概括，所谓主我（I），就是在意识层面对自己的构想、设想、追求、愿望，最终，绘制出一副关于自己的故事。

而宾我（Me），其实就是主我（I）眼中的“我们自己”。

主我，本质上是持续的意识，可以想象成一个会思考的眼睛，一个只有眼睛和大脑的思考者、追求者和观察者，一个自诩理性的智者，他一直在注视“我们自己”，这个“我们自己”也就是宾我（Me）。

这个智者一直在观察“我们自己”，他知道“我们自己”的过去，知道“我们自己”的能力，知道“我们自己”的品性，知道“我们自己”内心状态，知道“我们自己”的优势与不足，知道“我们自己”是个什么样的人，知道“我们自己”大概能成为什么样的人。

这个智者对“我们自己”的观察，本质上跟对其他人的观察是一样的。

这个智者在这么多年的持续不断的观察中，会形成关于自己，家人，朋友，爱人的印象，而其中关于“我们自己”的认识，也就是宾我（Me）。

以上介绍了主我（I）和宾我（Me）的概念，接下来我们看看，主我（I）与宾我（Me）的关系，为什么它们之间的关系如此重要。

先来看看，我们以为的真实世界，我们以为的与他人的交往互动：

但实际上，“我”要更小点，要更加意识化，精神化，即：

真正核心的我是主我（I），也就是我们通常所说的精神，意识。

主我也许很理性，很睿智，很有想法，但它本质上是想法，是意识，是无法同外界交互的，它需要宾我这个中介，需要借助宾我，才能与世界打交道。

主我能很好的驾驭（控制）宾我与世界打交道吗？

比如，疫情在家，主我想利用这段时间提升自己，而宾我可能会懒惰，喜欢刷抖音，玩游戏，看小说，躺着不动，即使主我（I）感觉这样很颓废，但宾我（Me）就是不愿意动，我们感觉到内心就像分裂了一样，对自己很愤怒，本质上，这种愤怒，就是主我对宾我的愤怒。

所以，我与我的关系，本质上就是主我（I）与宾我（Me）的互动关系。

对于主我来说，它会评价，宾我是可以依靠的吗，可以信任的吗，可以依赖宾我实现渴望的梦想、理想、目标吗？

如果是，也就是我们通常所说的。

I can believe Me（相信自己）I

I can depend on Me（依赖自己）

Me can Support I

如果在你的评价中，也就是主我的评价中，你认为“自己”（宾我）是可信赖的，可依赖的，那你很容易就做到我们一直说的接纳自己，爱自己。

I can accept Me。

如果宾我能够突破自己，突破恐惧，主我甚至尊重宾我。

比如，辞去体制内的工作，这非常的纠结，主我自己也非常的恐惧，虽然认为这可能是对的，但主我也非常担心未来，非常迷茫。

但最终，宾我，也就是现实中的自己，克服了困难，做了这样的选择，做到了。

所以，主我不仅仅：

I accept Me

主我甚至：

I respect Me（尊重自己）

I am proud of Me（我为自己自豪）

这部分，也就是第3部分内容，是我一直以来对主我、宾我关系的理解。

你觉得如何？

你同意吗？

看似合理，但其实，主我 believe、depend on、accept、proud of 客我，是有条件的，也就是我们通常所说的“有条件的爱”，这种“有条件的”，会带来很大问题。

具体看第4部分。

大家再看这张图，主我是世界的中心，主我试图通过驾驭宾我，与他人、与世界互动。

最后的结果就是，宾我工具化了，在主我的眼中，宾我不再是一个人，而是工具，一堆“武器”。

所以，自我，也就是主我+宾我，变成了主我+刀枪棍棒。。。等十八班兵器。

看似很强大，很励志，但整个自我（自我=主我+宾我），非常弱小，在困难挑战面前不堪一击。

甚至在一个求助我的人面前，我居然会非常焦虑，甚至要取悦。

本质上，主我（I）将宾我（Me）当成工具，当成木偶，当成完成“主我（I）的目标”的手段，甚至可以说是奴隶、苦工，而不是一个需要温柔以待的人。

【这句话非常关键，希望大家体会下。】

更通俗的讲，主我（I）是宾我（Me）的主人，而宾我（Me）只不过是一个需要被驾驭、被管理的工具、木偶，甚至奴隶。

所以，我们苛责自己，鞭策自己，贬低自己，否定自己，甚至讨厌自己，憎恶自己。

这样的“我与我的关系”，有什么问题呢？

这样的自我，带来的就是有条件自尊，或者说，不稳定自尊。

当一切都很好的时候，或者，正处在个人擅长的领域，主我（I）能够相信宾我（Me），主我相信宾我能够搞定，主我会感到非常安全，对宾我感觉非常好，也就表现为自尊，自我接纳，甚至是自豪。

本质上，一个工具好用，一个奴隶好用，当然会欣然接受，没准心情好，还会夸奖几句。

但如果面对不擅长的领域，面对挫折失败，主我不相信宾我，主我就会非常的焦虑，恐惧，就会过分贬低宾我。

一个人的自尊，自我接纳，会因为面对的事情，而发生剧烈的变化。

这样的自尊，是不稳定的，也是没有用处的。

因为自尊，本质上就是为了帮助我们抵御威胁和冲击，在困境中也能心平气和的坚持，而不只是让我们在顺境中感觉好。

这样的“只能让我们在顺境中感觉良好的”有条件自尊是没有价值的。

我们真正想要的是无条件自尊，也就是真正的自尊。

心理学家区分过有条件自尊、无条件自尊的表现，在顺境时，两者没有区别，都让我们感觉更好，它们真正区别的是，在逆境时，我们对自我的评价。

无条件自尊，即使面对逆境，面对失败，我们不会贬低自己，仍然相信自己，仍然自我感觉良好。

这其实就如同谈恋爱。

如果你真正爱上一个人，即使发现她的缺点，甚至就如同知乎的提问，“情侣之间如何跨过屎尿屁的坎？”，即使有如此种种，你也还是会爱她，拥抱她，而不会贬低她，唾弃她。

无条件自尊，本质上是来自于真正的爱，真正的把自己当成一个“人”一样去交往，去尊重，去爱惜。

而不是另外一种婚姻，或者说有条件婚姻，因为金钱，地位，权利，资源等外部因素走在一起，若这些因素一直存在，那一切都很好，但当这些东西失去时，你就会贬低他，讨厌他，唾弃他。

这就是有条件自尊，在一切顺利时，一切都好，而在困境时，不仅大难临头各自飞，甚至还会踩一脚。

纸糊的自尊，不堪一击，也不值得拥有。

那么，如何去获得无条件自尊呢？

本质上，就如同跟自己“谈恋爱”（如果不喜欢谈恋爱的比喻，也可以比喻为成为兄弟，成为伙伴，成为搭档），从而真正的自我接纳。

而一切的前提，就是训练主我将“我们自己”（宾我）当成一个人，一个平等地位的人，而不是一个工具，一个需要被驾驭的奴仆。

主我与宾我，彼此携手，慢慢变成兄弟、搭档、合作伙伴，彼此相互合作，相互挟持，一起去面对他人，面对世界。

不再是主我一个人唱独角戏，不再是主我一个人孤独的面对世界。

这种改变有多强大呢？

结伴成行的力量有多大呢？

想象下：

一个人看恐怖片；

身边有个人陪你一起看恐怖片；

这两种场景的区别，本质上就是同行的力量，伙伴的力量，彼此扶持、合作的力量！

这种改变的力量就是如此之大。

我们内心会非常的宁静，非常的充实，非常的滋养，非常的安全，以及，非常的强大。

我们也就获得了真正的无条件自尊。

主我+工具化宾我，这本质上是驾驭、操控、驯服的关系。

也许取得了很多的成就，在外人看来有很强大的能力，比如，学习，意志，情绪，心理，成就，事业，等等，但内心永远是弱小的，脆弱的，恐惧的，害怕的，不堪一击的。

因为，完整的自我缺失了。

完整的自我=主我+宾我。

而主我中心主义，准确说是主我至上主义，虽然让主我有一种高高在上的优越感，成为绝对的核心，但同时，它也是孤独的，它需要独自一个人，孤独的面对世界的挑战，孤独的驾驭宾我，这让它不堪重负。

所以，这样的主我，永远是焦虑的，紧张的，如临大敌的，对宾我是非常苛责的。

而主我+伙伴式宾我，这本质上是一种合作，是彼此携手，彼此尊重，彼此支撑，1+1>>2的关系。

我们的内心，内心的主角，就不只是狭隘的主我了，而是将宾我也容纳进去了，主我+宾我，变成完整的自我了。

主我，宾我，不再是驾驭关系，而是平等的伙伴关系，相互扶持，相互协作，一起去面对挑战。

成功了，主我、宾我一起庆贺，一起成长。

失败了，主我、宾我相互抚慰，相互支撑，相互鼓励，再去寻找新的办法。

即使外界波涛汹涌，内心却非常平静。

所以，如何处理好（主）我与（客）我的关系？

或者说，如何构建我与我的伙伴关系，主我真正的接纳宾我，将宾我当成一个平等的伙伴，构建伙伴式的“我与我的关系”，获得真正的自尊，以及真正的平静？

仅仅通过对自己念咒语“接纳自己”，或者下决心平等对待自己，这是不够的，也是不现实的。

一切的前提，就是训练主我，打破“宾我工具化”的误区，不再是主我驾驭宾我，而是尝试着，将宾我，也就是“我们自己”，当成一个人，当成一个有血有肉的人，去接触，去相处，去了解，去尊重，去建立友情，去建立伙伴关系。

就如同我们与朋友建立关系一样。

如何做到这点，推荐大家看一本书《自我关怀的力量》，这是非常严肃的学术著作，是得克萨斯大学人类学教授写的。

再强调下，接纳自我，最重要的事情有两件：

第一，训练主我，打破宾我的工具化，将宾我，也就是将自己，当成一个有血有肉的人，一个human，而不只是执行主我目标、理想、意愿的工具、木偶、奴隶，不是十八般兵器的堆砌；

第二，打破主我的绝对中心主义，绝对至上主义，尝试着也将宾我纳入核心，跟宾我平等相处，自我（完整的自我=主我+宾我）就真正完整了，两个“我”手拉手，一起去面对世界的挑战，不管外界如何风起云涌，内心自有一片安宁。

【如何构建伙伴式的“我与我的关系”，这是另外一个更大的问题，本篇文章已经6000多字了，就不打算再深入展开了，留待以后的文章涉猎。

若大家有兴趣，可以看看第一篇《这篇文章24小时删除》，其中探讨过接纳自我。】

自我心理学是心理学的核心，我们对自己的看法，会影响我们的行为。

比如，虽然在他人看来我很强大，甚至很厉害，但在我内心深处，我认为自己很渺小，很脆弱，所以，我很焦虑，甚至面对求助于我的人，也很怯懦。

自我的强大，不在于我目前拥有了哪些武器，而是两个“我”，两个伙伴，彼此理解，做好了准备，一起去面对他人，面对世界。

处理好自我的关系，获得真正有力量的自我，坦然的面对世界的挑战，这是一种骨子里的自信，一种骨子里的内心平和。

不管挑战多么艰难，两个人同舟共济，互相抚慰，彼此支撑，相互促进，一起面对不确定的世界，不确定的他人，不卑不亢，内心平静。

一个真正强大的自我，一个真正接纳的自我，一个内心真正平静的自我。

内心平静，然后，快速行动。

（内心平静后的力量，可以推荐一本书《身心合一的奇迹力量》，美国运动心理学家加尔韦的著作，这本书通过最激烈的比赛场展示了内心合一的力量，在日常生活中自然也是如此）

主我+工具化宾我，主我+伙伴式宾我，不同的“我与我的关系”，带来不同的结果，这已经论述很多了，最后，再做一个简单的小结。

主我+工具化宾我，这是我长久以来的行为模式，在他人看来，我拥有很多，非常强大，外表光鲜，一片祥和，但内心深处，永远是焦虑的，恐惧的，不安的，孤独的，强自支撑着的。

而主我+伙伴式宾我，这是我最近正在体会的模式，这么多年来，我开始找到一种发自肺腑的宁静，即使外界狂风骤雨，虽然也会焦急，也会慌张，但内心最深处，是宁静的，是安稳的，是强大的，是自信的，是充满希望的。

这种感觉，真好，希望你也能品尝到。

这篇文章6500+字，是关于人生核心转折的一个梳理，24小时后删，希望你很幸运能看到它。

全文完。

文：高太爷；

手绘：张婷（微信号：Zt881221）。