《如(rú)何從(cóng) DDoS ∏<σ'下(xià)載的(de) cap 文(wén)件(jiàn)中揪出攻擊者》

一(yī)、DDoS 下(xià)載與 c©σ≠₩ap 文(wén)件(jiàn)的(de)基礎認知(zhī)

DDoS ，全稱為(wèi)分(fēn)布式拒絕服務（Dist¥ £↔ributed Denial of Service），是(shì)指通(t↑©∞ōng)過大(dà)量的(de)請(qǐng)求或
數(shù)據包來(lái)阻塞目标網絡或系統，使其無法正常提供服務。這★'(zhè)種攻擊方式通(tōng)常被用(yòng)于惡意破壞競争&♦對(duì)手的(de)網站(zhàn)、服務器(qì)，或者對(duì•✔ε)特定目标進行(xíng)報(bào)複等。
cap 文(wén)件(jiàn)是(shì)一(yī)種比較通♠£(tōng)用(yòng)的(de)文(wén)件(jiàn)格式，≤‍多(duō)數(shù)抓包軟件(jiàn)都(d×& ¥ōu)支持将捕獲的(de)網絡數(shù)據包以這(zhè)種格式存儲。它通₩β(tōng)常存儲的(de)是(shì)網絡數(shù)據幀£♠。
cap 文(wén)件(jiàn)的(de)格式并非統一(yī)，會(h∏≠₽uì)因不(bù)同的(de)網絡傳輸協∏÷議(yì)而有(yǒu)所差異。以以太網幀為(wèi)例，>φ↑cap 文(wén)件(jiàn)是(shì)全十¥ ∞六進制(zhì)數(shù)據文(wén↑↔)件(jiàn)，并非文(wén)本文("π wén)件(jiàn)，其結構需要(yào)進行(xíng∑₩↔)分(fēn)析。文(wén)件(jiàn)的(de)前 24 個(gè)♠™十六進制(zhì)位通(tōng)常是(shì)頭文(wén)件(j ​iàn)相(xiàng)關信息，可(kě)≤←‌'暫不(bù)關心。随後的(de)八個(gè)位是(sh€•ì)抓包的(de)時(shí)間(jiān)戳标記，包括了(le)年(nián★♠•δ)月(yuè)日(rì)和(hé)具體(tǐ)到(dào)毫秒£ π®(miǎo)級别的(de)時(shí)間(j ₹♣≈iān)，前 4 位高(gāo)低(dī)位互換再乘↑® 1000 可(kě)得(de)到(dào)當前時(™↓§±shí)間(jiān)精确到(dào)秒(miǎo)，±'§¶後 4 位是(shì)微(wēi)秒(miǎo)。
cap 文(wén)件(jiàn)的(de)常見(jiàn)用♠♠•∞(yòng)途包括網絡故障排查、分(fēn)析網絡流量模式、檢測網絡攻擊等。♥×♥φ例如(rú)，在檢測 DDoS 攻擊時(shí)，cap 文(w★™✔én)件(jiàn)可(kě)以提供有(yǒu)關攻擊數(shù)據包≥✘的(de)詳細信息，幫助安全人(rén)員(yuán)追溯π≥攻擊源和(hé)了(le)解攻擊模式。
總之，了(le)解 DDoS 下(xià)載₹σβ和(hé) cap 文(wén)件(jiàn)的(de)基礎知(zhī)識，對€→←&(duì)于防範網絡攻擊和(hé)保障網絡安全具有(yǒu)重αβ要(yào)意義。

二、分(fēn)析 cap 文(wén)件(jiàn¶π)尋找攻擊者線索

（一(yī)）文(wén)件(jiàn)φ∞$結構解析

cap 文(wén)件(jiàn)的(de)頭部信息包含了(le©↓§₽)許多(duō)關鍵的(de)元數(shù)據。除了(le)之÷¥¶前提到(dào)的(de)抓包時(shí)間(jiān)戳标記外(w✔‍λ$ài)，還(hái)可(kě)能(néng)←¥有(yǒu)文(wén)件(jiàn)版本、鏈路(lù)類型等信息。對(§λ↑duì)于不(bù)同類型的(de) cap 文(wén)件(jià®♥n)，其頭部的(de)具體(tǐ)字段和(hé)長(chán₽★g)度可(kě)能(néng)會(huì)有(yǒu≤♠✔)所不(bù)同。
數(shù)據段格式也(yě)是(shì)分(fēn)析的(de >)重點。一(yī)般來(lái)說(shuō)¶♠​，數(shù)據段包括了(le)源地(dì)址、β 目标地(dì)址、協議(yì)類型等關鍵标識。例如(rú)，以太網幀π ♣✔的(de)數(shù)據段中，源 MAC 地(dì)址和(≠‌≈πhé)目标 MAC 地(dì)址是(shì)重要(yào)的(de)标識，©≥通(tōng)過它們可(kě)以初步判斷數(shù)據包的(de£ )流向。
在關鍵标識的(de)含義方面，協議(yì)類型标識了(le)數(shù)據包所∑×使用(yòng)的(de)網絡協議(yì)，如(rú) TCP、UDP 等，≠ε這(zhè)對(duì)于後續的(de)分(fēn)析至關重要(yào)σπ<α。

（二）數(shù)據幀內(nèi)容剖析

抓包時(shí)間(jiān)是(shì)分(fēn)析'£±的(de)重要(yào)線索之一(yī)。通δ $‍(tōng)過精确到(dào)毫秒(miǎ↑♥λo)級别的(de)抓包時(shí)間(jiān)，可(kěβ↓)以确定數(shù)據包的(de)發送順序和(h&↔<☆é)時(shí)間(jiān)間(jiān)隔，從(cóng)而判↔♦φ斷是(shì)否存在異常的(de)流量模式。
包類型的(de)分(fēn)析能(néng)幫助我們了(le)解數(shù)•α據的(de)性質。例如(rú)，TCP 包和(héδΩ'σ) UDP 包在處理(lǐ)方式和(hé)包含的★₩₹(de)信息上(shàng)有(yǒu)所不(<€♥♥bù)同。
包內(nèi)容的(de)分(fēn)析則更為(w∞₽¥≈èi)複雜(zá)。需要(yào)關注數(shù)據包中的'​÷(de)具體(tǐ)數(shù)據字段，如(rú) TCP 包中的₩×(de)端口号、序列号等，以獲取更多(duō)關于∏‌Ω通(tōng)信雙方的(de)信息。

（三）利用(yòng)工(gōng)具分(fēn)析

常用(yòng)的(de) cap 文(wén)件(jiànε→∞)分(fēn)析工(gōng)具包括 Wireshark、↓↓✔Tcpdump 等。
Wireshark 功能(néng)強大(dà)，支持≠¶✔≥多(duō)種協議(yì)的(de)解析，能(né≤δ♣ng)夠以直觀的(de)圖形界面展示數(shù ♦)據包的(de)詳細信息。它可(kě)以對(duì) cap 文(w≤δ↔én)件(jiàn)進行(xíng)過濾、搜✘•¶↑索，方便用(yòng)戶快(kuài)速定位到(dào)感興趣的(d♦"±←e)數(shù)據包。使用(yòng)時(shí)，用(yònπ↕g)戶可(kě)以通(tōng)過設置過濾規則，隻顯示符合特定條件(jiàn)↓"的(de)數(shù)據包。
Tcpdump 則更側重于命令行(xíng)操作(zuò)↔∑，适合在服務器(qì)端進行(xíng)實時(s₩∑γhí)抓包和(hé)分(fēn)析。它的(de)命令參數(shù)豐富，可★ (kě)以靈活地(dì)指定抓包的(de)接口、過濾條件(jσ‌&iàn)等。例如(rú)，通(tōng)過指定特‌₹×€定的(de)端口或 IP 地(dì)址進行(xíng ₽‌)抓包。

三、查找攻擊者的(de)常見(jiàn)方法與平台

（一(yī)）收集證據

收集攻擊事(shì)件(jiàn)的(de)證據是(shì)查找攻↓✘ 擊者的(de)重要(yào)步驟。首先，需要(yào)獲取服務器©€₩​(qì)和(hé)網絡設備的(de)系統日(rìα₩)志(zhì)，這(zhè)些(xiē)日(rì)志(zhìΩ↔©)包含了(le)訪問(wèn)記錄、錯(cuò)誤信息以δ'及系統的(de)運行(xíng)狀态等。其次，利用(yòng)網 ↓¥絡流量監測工(gōng)具捕獲網絡數(shù)據包，通(tōng)過分(fēn♣‌)析數(shù)據包的(de)來(lái)源、目的∑Ω(de)地(dì)、協議(yì)類型和(hé)內(nèi)容↕'§，來(lái)發現(xiàn)異常的(de)流量模式和(h™ <↑é)潛在的(de)攻擊痕迹。此外(wài)，還&±©(hái)可(kě)以收集磁盤鏡像，以便對(duì)整個(×✔∑gè)系統的(de)狀态進行(xíng)全面的(d₹‍γ¥e)分(fēn)析。

（二）追蹤攻擊 IP

通(tōng)過 IP 地(dì)址追蹤攻擊者的(de)位置和(hé)來(l≈φái)源可(kě)以使用(yòng)多(duō)種途徑和(hé)工 ♦&‍(gōng)具。WHOIS 查詢是(shì)常用(yòng)的(de♣£$←)方法之一(yī)，它可(kě)以提供 IP 地(dì)址的♣σ✔σ(de)注冊信息，包括所有(yǒu)者、注冊機(jī)構等。IP 查找工α‍ γ(gōng)具如(rú) IP138 等也(yě)能₩§εσ(néng)幫助獲取 IP 地(dì)址的(de)大§$(dà)緻地(dì)理(lǐ)位置和(hé)所屬網絡運營商。同時(shí)，結•©合網絡流量分(fēn)析工(gōng)具，如(rú) Wiα<reshark 等，可(kě)以更深入地(dì)分(fēn)析數∞λε"(shù)據包中的(de) IP 信息，追蹤攻擊的(d±®e)路(lù)徑。

（三）分(fēn)析攻擊工(gōng)具與特征

分(fēn)析攻擊者使用(yòng)的(de↔≈↕)工(gōng)具和(hé)惡意代碼對(duì)←©§>于确定其技(jì)術(shù)水(shuǐ)平至關重•αφ要(yào)。可(kě)以使用(yòng)反病毒軟件(jiàn)£↑>↕和(hé)惡意代碼分(fēn)析工(gōng)具，對(duì)獲取 ≤的(de)惡意代碼進行(xíng)靜(jε÷₹ìng)态和(hé)動态分(fēn)析。靜(jì₩•∏×ng)态分(fēn)析包括查看(kàn)代碼的(de)結構、函數( ‌©shù)調用(yòng)和(hé)字符串等，以了(le)解其功能(néng)✔​€和(hé)目的(de)。動态分(fēn)析則通(tōng)過在≥↓↔受控環境中運行(xíng)惡意代碼，觀察其行(xíng)為(wèi)↕÷β、系統調用(yòng)和(hé)網絡通(tōng)信等¶ ，進而評估攻擊者的(de)技(jì)術(shù)能(néng→εσ≈)力和(hé)攻擊意圖。

（四）建立攻擊鏈路(lù)

建立攻擊鏈路(lù)需要(yào)對(duì♥¥™)攻擊事(shì)件(jiàn)的(de)各個(gèδ ₽♠)環節進行(xíng)詳細分(fēn)析。首先♦ π，确定攻擊的(de)入口點，例如(rú)是(shì)通(tōng)過 αβ網絡漏洞、社交工(gōng)程還(hái)是(shì)其他(tā)途徑進入¥ 系統的(de)。然後，追蹤攻擊在系統內(​‌↕>nèi)的(de)傳播路(lù)徑，查看(kàn)哪些(xiē)文(← wén)件(jiàn)被訪問(wèn)、修改或$→​γ删除，哪些(xiē)服務受到(dào)影(yǐng)響。通(tōng♣₹♣)過分(fēn)析這(zhè)些(xiē)環節之間(jiān)的(de→σ")關系，構建出完整的(de)攻擊鏈路(lù)，從(có¥‍ng)而揭示攻擊者的(de)入侵方法和(hé)步驟→®。

（五）合作(zuò)調查

與其他(tā)組織或機(jī)構進行(xíng)合作(zuò)調查≤£•是(shì)提高(gāo)溯源效率的(de)有(yǒu)效方式。可(kě)以ε'®₹與同行(xíng)業(yè)的(de)企業(yè)、安全研究機(jī)構共♥&¥™享攻擊信息和(hé)技(jì)術(shù)，共同分(fēn)析攻擊模式和(hé​ )特征。通(tōng)過合作(zuò)，能(néng)夠彙集更多→↕×(duō)的(de)資源和(hé)專業(yè)知(zhī)識，擴大(dà)調♥φ查的(de)範圍和(hé)深度。同時(sh≥αí)，還(hái)可(kě)以與執法部門&∏(mén)合作(zuò)，依法追究攻擊者的(de♠ε)法律責任，維護網絡空(kōng)間(jiān)的(de)安↕≈¥₹全和(hé)秩序。

四、在不(bù)同平台獲取相(xiàng)關信息的(de)途徑

（一(yī)）漏洞平台

補天和(hé)漏洞盒子(zǐ)等公開(kāi)漏洞平台是(shì)σ€"♣網絡安全領域的(de)重要(yào)資源。它們為(wèi)企業(yè)和(β&≤πhé)安全研究人(rén)員(yuán)提供了(•€le)一(yī)個(gè)發現(xiàn)和(hγ€≥δé)報(bào)告漏洞的(de)平台。在這(zhשè)些(xiē)平台上(shàng)，安全人(rén)員(yuán)可 ®≥>(kě)以及時(shí)了(le)解到(d₽₩αào)各種新出現(xiàn)的(de)漏洞信息，包括漏‌™★≠洞的(de)類型、影(yǐng)響範圍和♥$↓(hé)修複建議(yì)。
企業(yè)可(kě)以通(tōng)過這(z÷≥hè)些(xiē)平台監測自(zì)身(shēn)産品是(sh✘∑≈ì)否存在漏洞，及時(shí)采取措施進行(xíng)修複，降低(dī)被 ♠≠→攻擊的(de)風(fēng)險。對(duì)于安全研究人(γ∏↑rén)員(yuán)來(lái)說(shuō)，他(tā)們可(kě✔♠±)以在平台上(shàng)分(fēn)享自(zì‍ ★)己的(de)發現(xiàn)，獲取一(yī)定的(de)®×<&獎勵，同時(shí)也(yě)能(néng≠&≤)提升自(zì)己在行(xíng)業(yè)內(nèi)的(de)聲譽。≠&
使用(yòng)這(zhè)些(xiē)漏洞₽Ω平台時(shí)，需要(yào)關注平台發布的(de)漏洞公告 γ<β，及時(shí)跟進與自(zì)身(shēn)相(xiàng)≤©關的(de)漏洞情況，并按照(zhào)平台的(de)→¥規則進行(xíng)漏洞的(de)報(bào)告和(hé)處理 '≠(lǐ)。

（二）企業(yè)內(nèi)部資源

企業(yè)內(nèi)部的(de)安全設備日(rì)​∑®♠志(zhì)和(hé)非安全設備日(rì)志(zhì)都☆€<(dōu)具有(yǒu)重要(yào)的(de)↑♠ 分(fēn)析價值。安全設備日(rì)志β÷(zhì)，如(rú)防火(huǒ)牆、入侵檢測系統等生(shēng)₽®♦成的(de)日(rì)志(zhì)，能(néng)夠記錄網絡中的(de)訪問→©σ(wèn)請(qǐng)求、攻擊嘗試等信♠​ &息，幫助發現(xiàn)潛在的(de)安全威脅。
非安全設備日(rì)志(zhì)，如(rú)服ε§φ∏務器(qì)、應用(yòng)程序的(de)日(rì)志(zhì)，也λ β(yě)可(kě)能(néng)包含異常的(de)登錄嘗試、系統§♦錯(cuò)誤等線索。通(tōng)過對(duì)這(zhè)些(xiσσē)日(rì)志(zhì)的(de)綜合分(fēn)析，可(∑ kě)以了(le)解企業(yè)內(nèi)部網絡的(de‌®‍€)活動情況，發現(xiàn)異常行(xíng)為(±♠wèi)模式，追溯可(kě)能(néng)的(de•♠$♠)攻擊源頭。
但(dàn)分(fēn)析企業(yè)內(nèi)部日(rì)志 βδ♥(zhì)需要(yào)具備一(yī)定的(de)技(jì)術(shù)和(>☆♠±hé)權限，同時(shí)要(yào)注意保護企業(yπ∏αè)的(de)敏感信息，遵循相(xiàng)關的(d∞≠≠e)法律法規和(hé)企業(yè)規定。<‍α

（三）威脅情報(bào)平台

微(wēi)步在線等威脅情報(bào)平台在獲取攻σ↕✘Ω擊者畫(huà)像方面發揮著(zhe)關鍵作(zuò)用(yòng)。它們£≠β能(néng)夠整合多(duō)源的(de)威脅情報(bào)數(shù± ₩)據，包括攻擊者的(de) IP 地(dì)址、攻擊"÷≠‌手法、使用(yòng)的(de)工(gōng)具等信息。
通(tōng)過這(zhè)些(xiē)平台，企業(yè)可(k₹≠¶δě)以更全面地(dì)了(le)解攻擊者的(de)特征和(hé)行÷​'₽(xíng)為(wèi)模式，提前做(zuò)好​∞(hǎo)防範措施。PassiveTotal 等平台則能(n₽  éng)提供有(yǒu)關域名、IP 等資産的(de)詳細信息 > ，幫助企業(yè)追蹤和(hé)監測潛在的(de)威脅。
利用(yòng)這(zhè)些(xiē)平台時  (shí)，要(yào)根據實際需求選擇合适的(de)€•β≈情報(bào)來(lái)源，并對(duì)獲取的(d↑↔λ e)情報(bào)進行(xíng)評估和(hé)驗證，确保其準<&确性和(hé)可(kě)靠性。

（四）社交媒體(tǐ)與論壇

在黑(hēi)客論壇和(hé)社交媒體(tǐ)✔'©上(shàng)尋找相(xiàng)關信息時(sh₽ í)，需要(yào)特别注意以下(xià)事(shì)項§≤₩ 。首先，要(yào)确保所訪問(wèn)÷★☆≥的(de)平台和(hé)信息來(lái)源✔λ的(de)合法性和(hé)可(kě)靠性，避免陷入非法或欺詐¥♦★性的(de)內(nèi)容。
其次，注意保護個(gè)人(rén)隐私，不(b©™ù)要(yào)随意透露敏感信息，以免被不(bù)法分(fēn)子‌✔"(zǐ)利用(yòng)。同時(shí)，對‌♠(duì)于獲取的(de)信息要(yào)進行(xíng)謹慎的(de¶₩&)篩選和(hé)判斷，不(bù)可(kě)盲目相(xiàng∑©£)信和(hé)傳播。
此外(wài)，在與其他(tā)用(yòng&‌≥)戶交流時(shí)，要(yào)保持警惕，避免被誤導或卷入不(bù)必要±‍₽↕(yào)的(de)風(fēng)險中。

五、總結與展望

（一(yī)）查找要(yào)點

從(cóng) cap 文(wén)件(jiàn)中查找攻擊者₽∏Ω，關鍵在于對(duì)文(wén)件(jiàn)結構和(hé)數(shδ ù)據內(nèi)容的(de)精細分(fē₩<n)析。要(yào)準确解讀(dú)頭部信息中的(d¥÷§e)元數(shù)據，深入剖析數(shù)據段的(de)格式、關鍵标識及含義。&‍£同時(shí)，充分(fēn)利用(yò ×ng)專業(yè)工(gōng)具，如(rú) Wireshark 和(h≥®é) Tcpdump 等，設置有(yǒu)效的(de)過濾和(hé™×✔¶)搜索條件(jiàn)，以精準定位關鍵數(shù)據包。
此外(wài)，全面收集各類證據，包括系統日(r$¥ ì)志(zhì)、網絡數(shù)據包、磁盤鏡像等，并綜合運用(yòng)多§φ¥♥(duō)種追蹤方法，如(rú)追蹤攻擊 IP、分(fēn)析攻擊工(gōn≥✔✔​g)具與特征、建立攻擊鏈路(lù)以及開(kāi)₽​展合作(zuò)調查等，形成完整的(de)證據鏈和(hé)攻擊鏈₹γ↔路(lù)，從(cóng)而提高(gāo)查找攻擊者的(de)準确性和(hé)↓★✘效率。

（二）查找難點

然而，這(zhè)一(yī)過程并非一(yī)帆風(fēn£ ↓"g)順，存在諸多(duō)難點。首先，cap 文(wén•£)件(jiàn)的(de)格式多(duō)'∑∑λ樣且複雜(zá)，不(bù)同的(de)網絡環境和(hé)協議(yì)可(¶∏δβkě)能(néng)導緻文(wén)件(jiàn)結構的(de☆→)差異，增加了(le)解析的(de)難度。其次，攻擊者常常采£≈☆×用(yòng)各種手段來(lái)隐藏自(zì)身(sh÷↑≈→ēn)的(de)蹤迹，如(rú)使用(yòng)代理(lǐ)服務Ω₩器(qì)、虛拟專用(yòng)網絡（VP ≈N）等，使得(de)追蹤攻擊 IP 變得(de)困難。
再者，惡意代碼和(hé)攻擊工(gōng)φλ>具的(de)不(bù)斷更新換代，使得(de)對(duì)其的(de±ε‌™)分(fēn)析和(hé)識别變得(de)極具挑戰性≥≠。而且，建立完整的(de)攻擊鏈路(lù)需要(yào)對(du±↑≠$ì)大(dà)量的(de)信息進行(xíng‍  ☆)整合和(hé)關聯分(fēn)析，這(zhè)要(yào)求具備深↑$♦厚的(de)技(jì)術(shù)功底和(hé)豐富的(±∞≥αde)經驗。

（三）未來(lái)展望

随著(zhe)技(jì)術(shù)的(de)不(bù)↕¥₹斷發展，未來(lái)在攻擊溯源方面有(yǒu)望↕₹ε取得(de)更大(dà)的(de)突破。人(rén)工←<€♦(gōng)智能(néng)和(hé)機(jī)器(qì)≥λσ學習(xí)技(jì)術(shù)的(de)應用(§♥yòng)将能(néng)夠更快(kuài)'©☆®速、準确地(dì)分(fēn)析海(hǎi)量的(de) cap 文(wén)☆"♥件(jiàn)數(shù)據，提高(gāo)溯源的(de✘♣↕)效率和(hé)精度。
同時(shí)，大(dà)數(shù)據技(jì)術( ≠₩shù)的(de)發展将使得(de)整合多(duō)源的±©♥(de)威脅情報(bào)成為(wèi)可(k✘¶ě)能(néng)，為(wèi)查找攻擊者提供更全£​₽面、深入的(de)線索。此外(wài)，區(qū)塊鏈技(×↔₩jì)術(shù)的(de)引入可(kě)能(né♣¥∏✘ng)為(wèi)證據的(de)可(kě)信性和(hé)不(bù)®∏✘可(kě)篡改性提供保障，增強溯源結果的(de)法律效力。
總之，未來(lái)的(de)技(jì)術(shù)發展将為(wèi)從(γ÷±cóng) cap 文(wén)件(jiàn)中查找攻擊者提供更強™σ÷<大(dà)的(de)支持和(hé)保障，進一(yī)步提升網絡安全的(deΩ ↑∞)防護水(shuǐ)平。

墨者安全的(de)高(gāo)防系列服務以其卓越的(de)性能(★φ αnéng)和(hé)穩定的(de)表現(xiàn)赢得(dΩ e)了(le)客戶的(de)廣泛認可(kě)。我們擁♦$‍有(yǒu)專業(yè)的(de)技(jì)術(shù)團隊和(hé)✔≥♠豐富的(de)行(xíng)業(yè)經驗→≥∏σ，能(néng)夠為(wèi)客戶提供量身(shēn)定制(zh↑βì)的(de)網絡安全解決方案。我們緻力于不(bù)斷創新和(hé>★)升級技(jì)術(shù)，以應對(duì)日(rì)益複雜(zá)的(d∏"‍<e)網絡安全威脅，确保客戶的(de)數(π↑shù)字世界安全無虞。在這(zhè)個(gè)充滿挑戰和(hé)機(j≠βī)遇的(de)網絡時(shí)代，墨者安全将繼續秉承&ldqu £®←o;安全至上(shàng)、客戶至上(shà‍£ ₹ng)”的(de)理(lǐ)念↓™≥，為(wèi)客戶提供更加優質、高(gāo)效的('₹‍de)網絡安全服務。我們相(xiàng)信，通∏≈☆(tōng)過我們的(de)努力和(hé)客戶的(de)支持，我們共同構建的♦β(de)數(shù)字世界将更加美(měi)好(hǎo☆÷↔)、安全。