區域網路用戶的限制和反限制技巧
 

區域網路用戶的限制和反限制技巧

區域網路用戶的限制和反限制技巧
可能現在對區域網路上網用戶限制比較多，比如不能上一些網站，不能玩某些遊戲，不能上MSN，連接阜限制等等，一般就是通過代理伺服器上的軟體進行限制，如現在談的最多的ISA Server 2004，或者是通過硬體防火牆進行過濾。下面談談如何突破限制，需要分限制情況進行說明：

　　一、單純的限制某些網站，不能訪問，網路遊戲（比如聯眾）不能玩，這類限制一般是限制了欲訪問的IP位址。

　　對於這類限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。現在網上找HTTP代理還是很容易的，一抓一大把。在IE裡加了HTTP代理就可以輕鬆訪問目的網站了。

　　二、限制了某些傳輸協定，如不能FTP了等情況，還有就是限制了一些網路遊戲的伺服器端IP位址，而這些遊戲又不支持普通HTTP代理。

　　這種情況可以用SOCKS代理，配合Sockscap32軟體，把軟體加到SOCKSCAP32里，通過SOCKS代理訪問。一般的程序都可以突破限制。對於有些遊戲，可以考慮Permeo Security Driver 這個軟體。如果連SOCKS也限制了，那可以用socks2http了，不會連HTTP也限制了吧。

　　三、關於包過濾的限制，或者禁止了一些關鍵字。這類限制就比較強了，一般是通過代理伺服器或者硬體防火牆做的過濾。比如：通過ISA Server 2004禁止MSN ，做了包過濾。這類限制比較難突破，普通的代理是無法突破限制的。

　　這類限制因為做了包過濾，能過濾出關鍵字來，所以要使用加密代理，也就是說中間走的HTTP或者SOCKS代理的資料流經過加密，比如跳板，SSSO， FLAT等，只要代理加密了就可以突破了， 用這些軟體再配合Sockscap32，MSN就可以上了。 這類限制就不起作用了。

　　四、關於連接阜的限制，限制了某些連接阜，最極端的情況是限制的只有80連接阜可以訪問，也就只能看看網頁，連OUTLOOK收信，FTP都限制了。當然對於限制幾個特殊連接阜，突破原理一樣。

　　這種限制可以通過以下辦法突破：

　　1、找普通HTTP80連接阜的代理，12.34.56.78:80，像這樣的，配合socks2http，把HTTP代理裝換成SOCKS代理，然後再配合SocksCap32，就很容易突破了。這類突破辦法中間走的代理未 加密。通通通軟體也有這個功能。
　　2、用類似FLAT軟體，配合SocksCap32，不過所做的FLAT代理最好也是80連接阜，當然不是80連接阜也沒關係，因為FLAT還支持再通過普通的HTTP代理訪問，不是80連接阜，就需要再加一個80連接阜的HTTP 代理。這類突破辦法中間走的代理加密，網管不知道中間所走的資料是什麼。代理跳板也可以做到，不過代理仍然要80連接阜的。對於單純是80連接阜限制，還可以用一些連接阜轉換的技術突破限制。

　　五、以上一些限制綜合的，比如有限制IP的，也有限制關鍵字，比如封MSN，還有限制連接阜的情況。

　　一般用第四種情況的第二個辦法就可以完全突破限制。只要還允許上網，哈哈，所有的限制都可以突破。

　　六、還有一種情況就是你根本就不能上網，沒給你上網的權限或者IP，或者做IP與MAC位址綁定了。

　　兩個辦法：

　　1、你在公司應該有好朋友吧，鐵哥們，鐵姐們都行，找一個能上網的機器，借一條通道，裝一個小軟體就可以解決問題了，FLAT應該可以，有密鑰，別人也上不了，而且可以自己定義連接阜。。其他能夠支持這種方式代 理的軟體也可以。我進行了一下測試，情況如下：區域網路環境，有一台代理上網的伺服器，限定了一部分IP， 給予上網權限，而另一部分IP不能上網，在硬體防火牆或者是代理伺服器上做的限制。我想即使做MAC位址與IP綁定也沒有用了，照樣可以突破這個限制。

　　在區域網路內設定一台能上網的機器，然後把我機器的IP設定為不能上網的，然後給那台能上網的機器裝FLAT伺服器端程序，只有500多K， 本地機通過FLAT客戶端，用SOCKSCAP32加一些軟體，如IE，測試上網通過，速度很快，而且傳輸資料還是加密的，非常棒。

　　2、和網路管理員搞好關係，一切都能搞定，網路管理員什麼權限都有，可以單獨給你的IP開無任何限制的，前提是你不要給網路管理員帶來麻煩，不要影響區域網路的正常運轉。這可是最好的辦法了。

　　另外，在區域網路穿透防火牆，還有一個辦法，就是用HTTPTUNNEL，用這個軟體需要服務端做配合，要執行httptunnel的服務端，這種方法對區域網路連接阜限制很有效。

　　隱通道技術就是借助一些軟體，可以把防火牆不允許的傳輸協定封裝在已被使用權的可行傳輸協定內，從而通過防火牆，連接阜轉換技術也是把不允許的連接阜轉換成允許通過的連接阜，從而突破防火牆的限制。這類技術現在有些軟體可以做到，HACKER經常用到這類技術。

　　HTTPTunnel，Tunnel這個英文單詞的意思是隧道，通常HTTPTunnel被稱之為HTTP暗道，它的原理就是將資料偽裝成HTTP的資料形式來穿過防火牆，實際上是在HTTP請求中新增了一個雙向的虛擬資料連接來穿透防火牆。說得簡單點， 就是說在防火牆兩邊都設立一個轉換程序，將原來需要傳送或接受的資料包封裝成HTTP請求的格式騙過防火牆，所以它不需要別的代理伺服器而直接穿透防火牆。HTTPTunnel剛開始時只有Unix版本，現在已經有人把它移植到Window平台上了，它包 括兩個程序，htc和hts，其中htc是客戶端，而hts是伺服器端，我們現在來看看我是如何用它們的。比如開了FTP的機器的IP是192.168.1.231，我本機的機器的IP是192.168.1.226，現在我本機因為防火牆的原因無法連線到 FTP上，

現在用HTTPTunnel的程序如下：

　　第一步：在我的電腦上（192.168.1.226）啟動HTTPTunnel客戶端。啟動MS-DOS的指令行方式，然後執行htc -F 8888 192.168.1.231:80指令，其中htc是客戶端程序，-f參數表示將來自192.168.1.231:80的資料全部轉發到本地機的8888連接阜，這個連接阜可以隨便選，只要本地機沒有佔用就可以。

　　然後我們用Netstat看一下本地機現在開放的連接阜，發現8888連接阜已在偵聽。

　　第二步：在對方電腦上啟動HTTPTunnel的伺服器端，並執行指令

　　「hts -f localhost:21 80」，這個指令的意思是說把本地機21連接阜發出去的資料全部通過80連接阜中轉一下，並且開放80連接阜作為偵聽連接阜，再用Neststat看一下他的機器，就會發現80連接阜現在也在偵聽狀態。

　　第三步：在我的電腦上用FTP連接本地機的8888連接阜，現在已經連上對方的機器了。

　　可是，人家看到的怎麼是127.0.0.1而不是192.168.1.231的位址？因為我現在是連接本地機的8888連接阜，防火牆肯定不會有反應，因為我沒往外發包，當然區域網路的防火牆不知道了。現在連接上本地機的8888連接阜以後，FTP的資料包不管是控 制訊息還是資料訊息，都被htc偽裝成HTTP資料包然後發過去，在防火牆看來，這都是正常資料，相當於欺騙了防火牆。

　　需要說明的是，這一招的使用需要其他機器的配合，就是說要在他的電腦上啟動一個hts，把他所提供的服務，如FTP等重轉發IP到防火牆所允許的80連接阜上，這樣才可以成功繞過防火牆！肯定有人會問，如果對方的電腦上本身就有WWW服務，也就是說他的80連接阜 在偵聽，這麼做會不會衝突？HTTPTunnel的優點就在於，即使他的機器以前80連接阜開著，現在這麼用也不會出現什麼問題，正常的Web訪問仍然走老路子，重轉發IP的隧道服務也暢通無阻！

網路指令一覽表

網路指令一覽表
當你開啟瀏覽器，自由地游弋於浩如煙海的網際網路世界之時，是否也沉迷於下載各種實用軟體？其中也許有很大一部分就是網路工具吧！但請你不要忽視你的面前——Windows（包括Win98和NT）作系統中本來就帶有不少的網路實用工具，雖然比較簡單，卻並不簡陋。本著「簡單就是美」的原則，下面就為你展現Windows網路實用工具的丰采……
Ping
嚕ing是個使用頻率極高的實用程序，用於確定本機主機是否能與另一台主機交換（傳送與接收）資料報。根據返回的訊息，你就可以推斷TCP/IP參數是否設定得正確以及執行是否正常。需要注意的是：成功地與另一台主機進行一次或兩次資料報交換並不表示TCP/IP組態就是正確的，你必須執行大量的本機主機與遠端主機的資料報交換，才能確信TCP/IP的正確性。
舊眾瑼獄﹛APing就是一個測試程序，如果Ping執行正確，你大體上就可以排除網路訪問層、網路卡、MODEM的輸入輸出線路、電纜和路由器等存在的故障，從而減小了問題的範圍。但由於可以自訂所發資料報的大小及無休止的高速傳送，Ping也被某些別有用心的人作為DDOS（拒絕服務攻擊）的工具，前段時間Yahoo就是被黑客利用數百台可以高速接入網際網路的電腦連續傳送大量Ping資料報而癱瘓的。
竄鷊蚢w設設定，Windows上執行的Ping指令傳送4個ICMP（網間控制報文傳輸協定）回送請求，每個32字元資料，如果一切正常，你應能得到4個回送回應。
嚕ing能夠以毫秒為服務機構顯示傳送回送請求到返回回送回應之間的時間量。如果回應時間短，表示資料報不必通過太多的路由器或網路連接速度比較快。Ping還能顯示TTL（Time To Live存在時間）值，你可以通過TTL值推算一下資料包已經通過了多少個路由器：源地點TTL起始值（就是比返回TTL略大的一個2的乘方數）-返回時TTL值。例如，返回TTL值為119，那麼可以推算資料報離開源位址的TTL起始值為128，而源地點到目標地點要通過9個路由器網段（128-119）；如果返回TTL值為246，TTL起始值就是256，源地點到目標地點要通過9個路由器網段。
通過Ping檢測網路故障的典型次序
瞼膨`情況下，當你使用Ping指令來搜尋問題所在或檢驗網路執行情況時，你需要使用許多Ping指令，如果所有都執行正確，你就可以相信基本的連通性和組態參數沒有問題；如果某些Ping指令出現執行故障，它也可以指明到何處去搜尋問題。下面就指出一個典型的檢測次序及對應的可能故障：
ping 127.0.0.1——這個Ping指令被送到本機電腦的IP軟體，該指令永不結束該電腦。如果沒有做到這一點，就表示TCP/IP的安裝或執行存在某些最基本的問題。
ping 本地機IP——這個指令被送到你電腦所組態的IP位址，你的電腦始終都應該對該Ping指令作出回應，如果沒有，則表示本機組態或安裝存在問題。出現此問題時，區域網路用戶請中斷連線網路電纜，然後重新傳送該指令。如果網線中斷連線後本指令正確，則表示另一台電腦可能組態了相同的IP位址。
ping 區域網路內其他IP——這個指令應該離開你的電腦，經過網路卡及網路電纜到達其他電腦，再返回。收到回送回應表明本機網路中的網路卡和媒體執行正確。但如果收到0個回送回應，那麼表示子網路遮罩（進行子網分割時，將IP位址的網路部分與主機部分分開的程式碼）不正確或網路卡組態錯誤或電纜系統有問題。
ping 網路閘道IP——這個指令如果回應正確，表示區域網路中的網路閘道路由器正在執行並能夠作出回應。
ping 遠端IP——如果收到4個回應，表示成功的使用了預設網路閘道。對於撥號上網用戶則表示能夠成功的訪問Internet（但不排除ISP的DNS會有問題）。
ping localhost——localhost是個作系統的網路保留名，它是127.0.0.1的別名，每太電腦都應該能夠將該名字轉換成該位址。如果沒有做到這一帶內，則表示主機文件（/Windows/host）中存在問題。
ping www.yahoo.com——對這個域名執行Ping指令，你的電腦必須先將域名轉換成IP位址，通常是通過DNS伺服器 如果這裡出現故障，則表示DNS伺服器的IP位址組態不正確或DNS伺服器有故障（對於撥號上網用戶，某些ISP已經不需要設定DNS伺服器了）。順便說一句：你也可以利用該指令實現域名對IP位址的轉換功能。
礎p果上面所列出的所有Ping指令都能正常執行，那麼你對你的電腦進行本機和遠端通信的功能基本上就可以放心了。但是，這些指令的成功並不表示你所有的網路組態都沒有問題，例如，某些子網路遮罩錯誤就可能無法用這些方法檢測到。
Ping指令的常用參數選項
ping IP -t——連續對IP位址執行Ping指令，直到被用戶以Ctrl+C中斷。
ping IP -l 2000——指定Ping指令中的資料長度為2000字元，而不是預設的32字元。
ping IP -n——執行特定次數的Ping指令。
Netstat
齋etstat用於顯示與IP、TCP、UDP和ICMP傳輸協定相關的統計資料，一般用於檢驗本地機各連接阜的網路連接情況。
如果你的電腦有時候接受到的資料報會導致出現錯誤資料移除或故障，你不必感到奇怪，TCP/IP可以容許這些檔案類型的錯誤，並能夠自動重發資料報。但如果累計的出現錯誤情況數目佔到所接收的IP資料報相當大的百分比，或者它的數目正迅速增加，那麼你就應該使用Netstat查一查為什麼會出現這些情況了。
Netstat的一些常用選項：
netstat -s——本選項能夠按照各個傳輸協定分別顯示其統計資料。如果你的應用程式（如Web瀏覽器）執行速度比較慢，或者不能顯示Web頁之類的資料，那麼你就可以用本選項來檢視一下所顯示的訊息。你需要仔細檢視統計資料的各行，找到出現錯誤的關鍵字，進而確定問題所在。
netstat -e——本選項用於顯示關於乙太網的統計資料。它列出的項目包括傳送的資料報的總字元數、錯誤數、移除數、資料報的數量和廣播的數量。這些統計資料既有傳送的資料報數量，也有接收的資料報數量。這個選項可以用來統計一些基本的網路流量）。
netstat -r——本選項可以顯示關於路由表的訊息，類似於後面所講使用route print指令時看到的 訊息。除了顯示有效路由外，還顯示當前有效的連接。
netstat -a——本選項顯示一個所有的有效連接訊息列表，包括已建立的連接（ESTABLISHED），也包括監聽連接請求（LISTENING）的那些連接。
netstat -n——顯示所有已建立的有效連接。
Netstat的妙用
繡g常上網的人一般都使用ICQ的，不知道你有沒有被一些討厭的人騷擾得不敢上線，想投訴卻又不知從和下手？其實，你只要知道對方的IP，就可以向他所屬的ISP投訴了。但怎樣才能通過ICQ知道對方的IP呢？如果對方在設定ICQ時選項了不顯示IP位址，那你是無法在訊息欄中看到的。其實，你只需要通過Netstat就可以很方便的做到這一點：當他通過ICQ或其他的工具與你相連時（例如你給他發一條ICQ訊息或他給你發一條訊息），你立燒在DOS Prompt下輸入netstat -n或netstat -a就可以看到對方上網時所用的IP或ISP域名了。甚至連所用Port都完全暴露了，如果你想給他一些教訓，這些訊息已經足夠……
IPConfig
點PConfig實用程序和它的等價圖形用戶介面——Windows 95/98中的WinIPCfg可用於顯示現用的TCP/IP組態的設定值。這些訊息一般用來檢驗人工組態的TCP/IP設定是否正確。但是，如果你的電腦和所在的區域網路使用了動態主機組態傳輸協定（Dynamic Host Configuration Protocol，DHCP——Windows NT下的一種把較少的IP位址分配給較多主機使用的傳輸協定，類似於撥號上網的動態IP分配），這個程序所顯示的訊息也許更加實用。這時，IPConfig可以讓你瞭解你的電腦是否成功的租用到一個IP位址，如果租用到則可以瞭解它目前分配到的是什麼位址。瞭解電腦現用的IP位址、子網路遮罩和預設網路閘道實際上是進行測試和故障分析的必要項目。
最常用的選項：
ipconfig——當使用IPConfig時不帶任何參數選項，那麼它為每個已經組態了的接頭顯示IP位址、子網路遮罩和預設網路閘道值
ipconfig /all——當使用all選項時，IPConfig能為DNS和WINS伺服器顯示它已組態且所要使用的附加訊息（如IP位址等），並且顯示內裝於本機網路卡中的物理位址（MAC）。如果IP位址是從DHCP伺服器租用的，IPConfig將顯示DHCP伺服器的IP位址和租用位址預計失效的日期（有關DHCP伺服器的相關內容請詳見其他有關NT伺服器的書籍或詢問你的網管），其輸出訊息見圖6的下半部分。
ipconfig /release和ipconfig /renew——這是兩個附加選項，只能在向DHCP伺服器租用其IP位址的電腦上起作用。如果你輸入ipconfig /release，那麼所有接頭的租用IP位址便重新交付給DHCP伺服器（歸還IP位址）。如果你輸入ipconfig /renew，那麼本機電腦便設法與DHCP伺服器取得聯係，並租用一個IP位址。請注意，大多數情況下網路卡將被重新賦予和以前所賦予的相同的IP位址。
礎p果你使用的是Windows 95/98，那麼你應該更習慣使用winipcfg而不是ipconfig，因為它是一個圖形用戶介面，而且所顯示的訊息與ipconfig相同，並且也提供發怖和更新動態IP位址的選項 如果你購買了Windows NT Resource Kit（NT資源包），那麼Windows NT也包含了一個圖形替代介面，該實用程序的名字是wntipcfg，和Windows 95/98的winipcfg類似。
ARP（位址轉換傳輸協定）
鮮RP是一個重要的TCP/IP傳輸協定，並且用於確定對應IP位址的網路卡物理位址。實用arp指令，你能夠檢視本機電腦或另一台電腦的ARP高速快取中的當前內容。此外，使用arp指令，也可以用人工方式輸入靜態的網路卡物理/IP位址對，你可能會使用這種方式為預設網路閘道和本機伺服器等常用主機進行這項作，有助於減少網路上的訊息量。
竄鷊蚢w設設定，ARP高速快取中的項目是動態的，每當傳送一個指定地點的資料報且高速快取中不存在當前項目時，ARP便會自動增加該項目。一旦高速快取的項目被輸入，它們就已經開始走向失效狀態。例如，在Windows NT網路中，如果輸入項目後不進一步使用，物理/IP位址對就會在2至10分鍾內失效。因此，如果ARP高速快取中項目很少或根本沒有時，請不要奇怪，通過另一台電腦或路由器的ping指令即可增加。所以，需要通過arp指令檢視高速快取中的內容時，請最好先ping 此台電腦（不能是本地機傳送ping指令）。
常用指令選項：
arp -a或arp -g——用於檢視高速快取中的所有項目。-a和-g參數的結果是一樣的，多年來-g一直是UNIX平台上用來顯示ARP高速快取中所有項目的選項，而Windows用的是arp -a（-a可被視為all，即全部的意思），但它也可以接受比較傳統的-g選項。
arp -a IP——如果你有多個網路卡，那麼使用arp -a加上接頭的IP位址，就可以只顯示與該接頭相關的ARP快取項目。
arp -s IP 物理位址——你可以向ARP高速快取中人工輸入一個靜態項目。該項目在電腦啟始程序中將保持有效狀態，或者在出現錯誤時，人工組態的物理位址將自動更新該項目。
arp -d IP——使用本指令能夠人工移除一個靜態項目。

竅搢麭o裡，你也許已經有些累了……其實對於一般用戶來說也已經足夠——你可以用ipconfig和ping指令來檢視自己的網路組態並判斷是否正確、可以用netstat檢視別人與你所建立的連接並找出ICQ使用者所隱藏的IP訊息、可以用arp檢視網路卡的MAC位址——這些已足已讓你丟掉菜鳥的頭銜。如果你並不滿足，那就「硬著頭皮」（下面的內容可能有些枯燥）繼續Follow me……
Tracert
繚竀禤く爣q你的電腦經過多個網路閘道傳送到目的地時，Tracert指令可以用來跟蹤資料報使用的路由（路徑）。該實用程序跟蹤的路徑是源電腦到目的地的一條路徑，不能保證或認為資料報總遵循這個路徑。如果你的組態使用DNS，那麼你常常會從所產生的回應中得到城市、位址和一般通信公司的名字。Tracert是一個執行得比較慢的指令（如果你指定的目標位址比較遠），每個路由器你大約需要給它15秒鍾
嬸racert的使用很簡單，只需要在tracert後面跟一個IP位址或URL，Tracert會進行相應的域名轉換的。Tracert一般用來檢測故障的位置，你可以用tracert IP在哪個環節上出了問題，雖然還是沒有確定是什麼問題，但它已經告訴了我們問題所在的地方，你也就可以很有把握的告訴別人——某某出了問題。
Route
瞻j多數主機一般都是駐停留在只連接一台路由器的網段上。由於只有一台路由器，因此不存在使用哪一台路由器將資料報發表到遠端電腦上去的問題，該路由器的IP位址可作為該網段上所有電腦的預設網路閘道來輸入。
礎是，當網路上擁有兩個或多個路由器時，你就不一定想只依賴預設網路閘道了。實際上你可能想讓你的某些遠端IP位址通過某個特定的路由器來傳送，而其他的遠端IP則通過另一個路由器來傳送。
礎b這種情況下，你需要相應的路由訊息，這些訊息儲存在路由表中，每個主機和每個路由器都配有自己獨一無二的路由表。大多數路由器使用專門的路由傳輸協定來交換和動態更新路由器之間的路由表。但在有些情況下，必須人工將項目增加到路由器和主機上的路由表中。Route就是用來顯示、人工增加和修改路由表項目的。
一般使用選項：
route print——本指令用於顯示路由表中的當前項目，在單路由器網段上的輸出結果如圖12，由於用IP位址組態了網路卡，因此所有的這些項目都是自動增加的。
route add——使用本指令，可以將信路由項目增加給路由表。例如，如果要設定一個到目的網路209.98.32.33的路由，其間要經過5個路由器網段，首先要經過本機網路上的一個路由器，器IP為202.96.123.5，子網路遮罩為255.255.255.224，那麼你應該輸入以下指令：
route add 209.98.32.33 mask 255.255.255.224 202.96.123.5 metric 5
route change——你可以使用本指令來修改資料的傳輸路由，不過，你不能使用本指令來改變資料的目的地。下面這個例子可以將資料的路由改到另一個路由器，它採用一條包含3個網段的更直的路徑：
route add 209.98.32.33 mask 255.255.255.224 202.96.123.250 metric 3
route delete——使用本指令可以從路由表中移除路由。例如：route delete 209.98.32.33
NBTStat
齋BTStat（TCP/IP上的NetBIOS統計資料）實用程序用於提供關於關於NetBIOS的統計資料。運用NetBIOS，你可以檢視本機電腦或遠端電腦上的NetBIOS名字表格。
常用選項：
nbtstat -n——顯示寄存在本機的名字和服務程序
nbtstat -c——本指令用於顯示NetBIOS名字高速快取的內容。NetBIOS名字高速快取用於寸放與本電腦最近進行通信的其他電腦的NetBIOS名字和IP位址對。
nbtstat -r——本指令用於清除和重新載入NetBIOS名字高速快取。
nbtstat -a IP——通過IP顯示另一台電腦的物理位址和名字列表，你所顯示的內容就像對方電腦自己執行nbtstat -n一樣
nbtstat -s IP——顯示實用其IP位址的另一台電腦的NetBIOS連接表。
Net
齋et指令有很多函數用於實用和核查電腦之間的NetBIOS連接。這裡我只介紹最常用的兩個：net view和net use。
net view UNC——運用此指令，你可以檢視目標伺服器上的共享點名字。任何區域網路裡的人都可以發出此指令，而且不需要提供用戶ID或密碼。UNC名字總是以\\開頭，後面跟隨目標電腦的名字。例如，net view \\lx就是檢視主機名為lx的電腦的共享點（見圖15）。
net use 本機磁碟代號 目標電腦共享點——本指令用於建立或取消到達特定共享點的映像驅動器的連接（如果需要，你必須提供用戶ID或密碼）。例如，你輸入net use f: \\lx\mp3就是將映像驅動器F:連線到\\lx\mp3共享點上，今後你直接訪問F:就可以訪問\\lx\mp3共享點，這和你右擊「我的電腦」選項映射網路驅動器類似。