第?9?章?個性化Wireshark · Wireshark 用戶手冊

# 第?9?章?個性化Wireshark **目錄** + [9.1\. 說明](#calibre_link-173) + [9.2\. 從命令行啟動Wireshark](#calibre_link-47) + [9.3\. 包色彩顯示設置](#calibre_link-87) + [9.4\. 設置協議解碼](#calibre_link-174) + [9.4.1\. "Enable Protocols"對話框](#calibre_link-89) + [9.4.2\. 用戶指定解碼器](#calibre_link-175) + [9.4.3\. 顯示用戶指定解碼器](#calibre_link-176) + [9.5\. 首選項](#calibre_link-56) + [9.6\. 用戶表表](#calibre_link-177) + [9.7\. 創建過濾宏](#calibre_link-178) + [9.8\. Tektronics K12xx/15 RF5 協議表](#calibre_link-179) + [9.9\. 用戶 DLTs 協議表](#calibre_link-180) + [9.10\. SNMP用戶表](#calibre_link-181) > **寫在前面** > > 本章自9.6節起的內容在譯者的0.99.5版Wireshark中都未曾見到對應的功能。 ## 9.1.?說明 Wireshark默認行為通常可以很好地吻合你的習慣，當你十分熟悉Wireshark的時候，你可以對Wireshark進行個性化設置以更好地適合你的需要。在本章我們將介紹: * 如何從命令啟動Wireshark * 如何將包列表色值化(以顏色區分不同的包) * 如何控制包解析 * 如何使用多種多樣的首選項設置 ## 9.2.?從命令行啟動Wireshark Wireshark支持從命令行啟動，同樣也可以從大多數窗口管理軟件啟動。這節我們看看如何從命令行啟動。 Wireshark支持豐富的命令行參數。要想看看都有那些參數，在命令行鍵入**Wireshark -h**就會顯示幫助信息（以及其他相關的）。詳細參數列表見[例?9.1 “Wireshark幫助信息”](#calibre_link-195 "例?9.1.?Wireshark幫助信息") **例?9.1.?Wireshark幫助信息** ``` Version 0.99.0 Copyright 1998-2006 Gerald Combs <gerald@wireshark.org> and contributors. Compiled with GTK+ 2.6.9, with GLib 2.6.6, with WinPcap (version unknown), with libz 1.2.3, with libpcre 6.4, with Net-SNMP 5.2.2, with ADNS, with Lua 5.1. Running with WinPcap version 3.1 (packet.dll version 3, 1, 0, 27), based on libpcap version 0.9[.x] on Windows XP Service Pack 2, build 2600. wireshark [ -vh ] [ -DklLnpQS ] [ -a <capture autostop condition> ] ... [ -b <capture ring buffer option> ] ... [ -B <capture buffer size> ] [ -c <capture packet count> ] [ -f <capture filter> ] [ -g <packet number> ] [ -i <capture interface> ] [ -m <font> ] [ -N <name resolving flags> ] [ -o <preference/recent setting> ] ... [ -r <infile> ] [ -R <read (display) filter> ] [ -s <capture snaplen> ] [ -t <time stamp format> ] [ -w <savefile> ] [ -y <capture link type> ] [ -X <eXtension option> ] [ -z <statistics> ] [ <infile> ] ``` 我們隨后將對每個選項進行介紹首先需要注意的是，**Wireshark**命令會啟動Wireshark。不管怎樣，你可以在啟動時追加許多參數(如果你喜歡)。他們的作用如下(按字母順序)：筆者注：按字母順序是不是一個好主意？按任務順序會不會更好點？ -a <capture autostop condition> 設置一個標準用來指定Wireshark什么時候停止捕捉文件。標準的格式為 test:value,test值為下面中的一個。 duration:value 當捕捉持續描述超過Value值，停止寫入捕捉文件。 filesize:value 當捕捉文件大小達到Value值kilobytes(kilobytes表示1000bytes,而不是1024 bytes)，停止寫入捕捉文件。如果該選項和-b選項同時使用，Wireshark在達到指定文件大小時會停止寫入當前捕捉文件，并切換到下一個文件。 files:value 當文件數達到Value值時停止寫入捕捉文件 -b <capture ring buffer option> 如果指定捕捉文件最大尺寸，因為Wireshark運行在"ring buffer"模式，被指定了文件數。在"ring buffer"模式下，Wireshark 會寫到多個捕捉文件。它們的名字由文件數和創建日期，時間決定。當第一個捕捉文件被寫滿，Wireshark會跳轉到下一個文件寫入，直到寫滿最后一個文件，此時Wireshark會丟棄第一個文件的數據(除非將files設置為0，如果設置為0，將沒有文件數限制)，將數據寫入該文件。如果duration選項被指定，當捕捉持續時間達到指定值的秒數，Wireshark同樣會切換到下個文件，即使文件未被寫滿。 duration:value 當捕捉持續描述超過Value值，即使文件未被寫滿，也會切換到下個文件繼續寫入。 filesize:value 當文件大小達到value值kilobytes時(kelobyte表示1000bytes,而不是1024bytes)，切換到下一個文件。 files:value 當文件數達到value值時，從第一個文件重新開始寫入。 -B <capture buffer size (Win32 only)> 僅適合Win32:設置文件緩沖大小(單位是MB,默認是1MB).被捕捉驅動用來緩沖包數據，直到達到緩沖大小才寫入磁盤。如果捕捉時碰到丟包現象，可以嘗試增大它的大小。 -c <capture packet count> 實時捕捉中指定捕捉包的最大數目，它通常在連接詞-k選項中使用。 -D 打印可以被Wireshark用于捕捉的接口列表。每個接口都有一個編號和名稱(可能緊跟在接口描述之后？)會被打印，接口名或接口編號可以提供給-i參數來指定進行捕捉的接口(這里打印應該是說在屏幕上打印)。在那些沒有命令可以顯示列表的平臺(例如Windows,或者缺少**ifconfig -a**命令的UNIX平臺)這個命令很有用;接口編號在Windows 2000及后續平臺的接口名稱通常是一些復雜字符串，這時使用接口編號會更方便點。注意，"可以被Wireshark用于捕捉"意思是說：Wireshark可以打開那個設備進行實時捕捉；如果在你的平臺進行網絡捕捉需要使用有特殊權限的帳號(例如root，Windows下的Administrators組)，在沒有這些權限的賬戶下添加-D不會顯示任何接口。參數 -f <capture filter> 設置捕捉時的內置過濾表達式 -g <packet number> 在使用-r參數讀取捕捉文件以后，使用該參數跳轉到指定編號的包。 -h -h選項請求Wireshark打印該版本的命令使用方法(前面顯示的)，然后退出。 -i <capture interface> 設置用于進行捕捉的接口或管道。網絡接口名稱必須匹配**Wireshark -D**中的一個；也可以使用**Wireshark -D**顯示的編號，如果你使用UNIX,**netstat -i**或者**ifconfig -a**獲得的接口名也可以被使用。但不是所有的UNIX平臺都支持-**a**,**ifconfig**參數。如果未指定參數，Wireshark會搜索接口列表，選擇第一個非環回接口進行捕捉，如果沒有非環回接口，會選擇第一個環回接口。如果沒有接口，wireshark會報告錯誤，不執行捕捉操作。管道名即可以是FIFO(已命名管道)，也可以使用"-"讀取標準輸入。從管道讀取的數據必須是標準的libpcap格式。 -k **-k**選項指定Wireshark立即開始捕捉。這個選項需要和-i參數配合使用來指定捕捉產生在哪個接口的包。 -l 打開自動滾屏選項，在捕捉時有新數據進入，會自動翻動"Packet list"面板（同-S參數一樣）。 -m <font> 設置顯示時的字體（編者認為應該添加字體范例） -n 顯示網絡對象名字解析(例如TCP,UDP端口名，主機名)。 -N <name resolving flags> 對特定類型的地址和端口號打開名字解析功能；該參數是一個字符串，使用m可以開啟MAC地址解析，n開啟網絡地址解析，t開啟傳輸層端口號解析。這些字符串在-n和-N參數同時存在時優先級高于-n，字母C開啟同時(異步)DNS查詢。 -o <preference/recent settings> 設置首選項或當前值，覆蓋默認值或其他從Preference/recent file讀取的參數、文件。該參數的值是一個字符串，形式為 prefname:value,prefnmae是首選項的選項名稱(出現在preference/recent file上的名稱)。value是首選項參數對應的值。多個**-o <preference settings>** 可以使用在單獨命中中。設置單獨首選項的例子： wireshark -o mgcp.display_dissect_tree:TRUE 設置多個首選項參數的例子： ``` wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627 ``` > ![](https://box.kancloud.cn/2016-01-14_56970a172d0d5.png) > 提示 > 在???可以看到所有可用的首選項列表。 -p 不將接口設置為雜收模式。注意可能因為某些原因依然出于雜收模式；這樣，-p不能確定接口是否僅捕捉自己發送或接受的包以及到該地址的廣播包，多播包 -Q 禁止Wireshark在捕捉完成時退出。它可以和-c選項一起使用。他們必須在出現在-i -w連接詞中。 -r <infile> 指定要讀取顯示的文件名。捕捉文件必須是Wireshark支持的格式。 -R <read(display) filter> 指定在文件讀取后應用的過濾。過濾語法使用的是顯示過濾的語法，參見[第?6.3?節 “瀏覽時過濾包”](#calibre_link-4 "6.3.?瀏覽時過濾包")，不匹配的包不會被顯示。 -s <capture snaplen> 設置捕捉包時的快照長度。Wireshark屆時僅捕捉每個包<snaplen>字節的數據。 -S Wireshark在捕捉數據后立即顯示它們，通過在一個進程捕捉數據，另一個進程顯示數據。這和捕捉選項對話框中的"Update list of packets in real time/實時顯示數據"功能相同。 -t <time stamp format> 設置顯示時間戳格式。可用的格式有 * **r** 相對的，設置所有包時間戳顯示為相對于第一個包的時間。 * **a** absolute,設置所有包顯示為絕對時間。 * **ad** 絕對日期，設置所有包顯示為絕對日期時間。 * **d** delta 設置時間戳顯示為相對于前一個包的時間 * **e** epoch 設置時間戳顯示為從epoch起的妙數(1970年1月1日 00:00:00起) -v 請求Wireshark打印出版本信息，然后退出 -w <savefile> 在保存文件時以savefile所填的字符為文件名。 -y <capture link type> 如果捕捉時帶有-k參數，-y將指定捕捉包中數據鏈接類型。The values reported by -L are the values that can be used. -X <eXtension option> 設置一個選項傳送給TShark 模塊。eXtension 選項使用extension_key:值形式，extension_key:可以是： **lua**_script:lua_script_filename,它告訴Wireshark載入指定的腳本。默認腳本是Lua scripts. -z <statistics-string> 得到Wireshark的多種類型的統計信息，顯示結果在實時更新的窗口。筆者注：在此處增加更多的細節 ## 9.3.?包色彩顯示設置 Packet colorization(按色彩顯示包)是Wireshark一個非常有用的特性。你可以設置Wireshark通過過濾器將包按顏色設置。可以將你感興趣的包通過顏色強調顯示。 > ![](https://box.kancloud.cn/2016-01-14_56970a172d0d5.png) > 提示 > 你可以在[http://wiki.wireshark.org/ColoringRules](http://wiki.wireshark.org/ColoringRules)的**Wireshark Wiki Coloring Rules page**找到顏色規則的舉例。想要按色彩顯示包，選擇View菜單的“Coloring Rules...”菜單項，將會彈出"Coloring Rules"對話框，如[圖?9.1 “"Coloring Rules"對話框”](#calibre_link-196 "圖?9.1.?"Coloring Rules"對話框")所示 **圖?9.1.?"Coloring Rules"對話框** !["Coloring Rules"對話框](https://box.kancloud.cn/2016-01-14_56970a1f56a2e.png) 啟動Coloring Rules 對話框以后，有許多按鈕可以使用，當然這取決于是否已經裝入顏色過濾器(碰到once sth,you have a lot of 之類的句子就覺得特別tmd的惡心。) > ![](https://box.kancloud.cn/2016-01-14_56970a171a4c5.png) > 注意 > 在對色彩規則進行排序（然后運用時）需要注意：他們是按自上而下的順序應用的。因此，特定的協議應該排在一般的協議的前面(高層協議應該排在底層協議之前)。例如：如果你將UDP協議排在DNS之前，那么DNS顏色規則就不會被應用(因為DNS使用UDP協議，UDP色彩規則首先被匹配。譯者注：這里有點像netscreen防火墻規則，從上而下匹配，匹配了第一個規則以后就不會詢問后續規則了。) 如果你第一次使用色彩規則，點擊“NEW”按鈕打開色彩過濾編輯對話框，如???所示： **圖?9.2.?"Edit Color Filter"** !["Edit Color Filter"](https://box.kancloud.cn/2016-01-14_56970a1f6ab3f.png) 在編輯色彩對話框，輸入顏色過濾器名稱，然后在String輸入框輸入過濾字符串。???顯示的是arp,arp表示過濾器名為arp,string填的arp表示選擇的協議類型是arp。輸入這些值以后，你可以選擇前景色和配景色匹配這個過濾表達式。點擊 **Foreground color...** /前景色或者**Background color...**/背景色按鈕就會彈出**Choose foreground/background color for protocol**對話框(見[圖?9.3 “"Choose color"對話框”](#calibre_link-197 "圖?9.3.?"Choose color"對話框"))，進行前景色、背景色設置了。 **圖?9.3.?"Choose color"對話框** !["Choose color"對話框](https://box.kancloud.cn/2016-01-14_56970a1f7b352.png) 選擇你需要的顏色，點擊OK > ![](https://box.kancloud.cn/2016-01-14_56970a171a4c5.png) > 注意 > You must select a color in the colorbar next to the colorwheel to load values into the RGB values. Alternatively, you can set the values to select the color you want. [圖?9.4 “在Wireshark中使用色彩過濾”](#calibre_link-198 "圖?9.4.?在Wireshark中使用色彩過濾")顯示了默認情況下使用多個色彩過濾器的例子。如果你不太喜歡的話，可以自己隨時修改它。如果你不確定哪個顏色規則會對特定包發生作用，查看[Coloring Rule Name: ...] and [Coloring Rule String: ...] 字段。 **圖?9.4.?在Wireshark中使用色彩過濾** ![在Wireshark中使用色彩過濾](https://box.kancloud.cn/2016-01-14_56970a1f9537c.png) ## 9.4.?設置協議解碼用戶可以協議如何被解碼。[[18](#calibre_link-199)] 每個協議都有自己的解碼器,因此包可能需要使用多個解碼器才能完成解碼。wireshark會嘗試為每個包嘗試找到正確的解碼器(使用靜態"routes"和結構"guessing"),特定的情況有可能會選擇錯誤的解碼器。例如，如果你將一個常見協議使用用一個不常見的TCP端口，Wireshark將無法識別它，例如：HTTP協議使用800端口而不是標準80端口。有兩種方式可以控制協議和解碼器關聯：完全禁止協議解碼器，或者臨時調用解碼器。 ### 9.4.1.?"Enable Protocols"對話框 Eable Protocols對話框可以enable、disable特定的協議，默認情況下是所有協議都enable。如果某個協議被disabled,Wireshark在碰到這個協議時會略過不處理。 > ![](https://box.kancloud.cn/2016-01-14_56970a171a4c5.png) > 注意 > 禁止某個協議解碼會阻止依附該協議的更高層協議顯示。例如，假定你禁止了IP協議，選擇某個包含Ethernet,IP,TCP和HTTP信息的包。將只會顯示以太網信息，IP協議不會顯示，基于IP協議的TCP,HTTP協議信息也不會顯示。 **圖?9.5.?"Enabled Protocols"對話框** !["Enabled Protocols"對話框](https://box.kancloud.cn/2016-01-14_56970a1fad118.png) 通過點擊復選框，或者在協議高亮選中時按空格鍵可以切換協議enable/disable狀態。 > ![](https://box.kancloud.cn/2016-01-14_56970a170c848.png) > 警告 > 必須通過Save按鈕保存設置，OK，Apply按鈕不會保存設置，關閉Wireshark以后就會丟失設置。按鈕功能介紹 1. **Enable All** 允許列表中所有協議 2. **Disable All** 禁止列表中所有協議 3. **Invert** 切換列表中所有協議的enable/disable狀態 4. **OK** 應用當前修改，關閉對話框 5. **Apply** 應用修改，不關閉對話框 6. **Save** 保存當前設置 7. **Cancel** 取消修改，退出對話框 ### 9.4.2.?用戶指定解碼器在"packet list"面板，選中包，"Decode As"，打開Decode As對話框，可以臨時設置解碼器。在協議不使用常見端口時會有所幫助。 **圖?9.6.?"Decode As" 對話框** !["Decode As" 對話框](https://box.kancloud.cn/2016-01-14_56970a1fc0e8c.png) 對話框的內容取決于當前選擇包的信息。 > ![](https://box.kancloud.cn/2016-01-14_56970a170c848.png) > 警告 > 用戶指定解碼器不能保存。退出Wireshark以后，這些設置會丟失 1. **Decode** 使用選擇的方式解碼。 2. **Do not decode** 不要用選定方式解碼。 3. **Link/Network/Transport** 指定使用那個解碼器對各網絡層進行解碼。三個頁面中哪個頁面可用取決于被選擇包的內容。 4. **Show Current** 打開一個對話框顯示當前用戶**已經**指定的解碼器列表。 5. **OK** 應用當前選定的解碼器，關閉對話框。 6. **Apply** 應用當前選定的解碼器，保持對話框打開 7. **Cancel** 取消修改，關閉對話框。 ### 9.4.3.?顯示用戶指定解碼器下面對話框顯示了當前用戶指定的解碼器 **圖?9.7.? "Decode As: Show" 對話框** !["Decode As: Show" 對話框](https://box.kancloud.cn/2016-01-14_56970a1fd3113.png) 1. **OK** 關閉對話框 2. **Clear** 移除所有解碼器 [[18](#calibre_link-200)] dissector:析像器，應用在光學領域，dissct 解剖，這里姑且把他們翻譯成解碼器，解碼，不過有decode，似乎當作解碼有點欠妥。 ## 9.5.?首選項 Wireshark的許多參數可以進行設置。選擇"Edit"菜單的"Preferences..."項，打開Preferences對話框即可進行設置。如???所示:默認"User interface"是第一個頁面。點擊左側的樹狀列表中的項目可以打開對應的頁面。 > ![](https://box.kancloud.cn/2016-01-14_56970a171a4c5.png) > 注意 > 參數設置會頻繁追加。想了解關于參數設置的最新介紹，請參考**Wireshark Wiki Preferences** 頁:[http://wiki.wireshark.org/Preferences](http://wiki.wireshark.org/Preferences.). > ![](https://box.kancloud.cn/2016-01-14_56970a170c848.png) > 警告 > OK和Apply按鈕不會保存設置，你必須點擊Save按鈕保存設置。 * OK 應用參數設置，關閉對話框 * Apply 應用參數設置，不關閉對話框 * Save 應用參數設置，保存參數設置到硬盤，并且保持對話框打開 * Cancel 重置所有參數設置到最后一次保存狀態。 **圖?9.8.?preferences對話框** ![preferences對話框](https://box.kancloud.cn/2016-01-14_56970a1fe607b.png) ## 9.6.?用戶表編輯器[[19](#calibre_link-201)] 用戶表編輯器是用來管理各種用戶自定義參數表。它的主對話框操作方式類似于<a title="9.3. ">第?9.3?節 “包色彩顯示設置”</a> [[19](#calibre_link-202)] 找遍了Wireshark也沒看到User table編輯器，版本問題？ ## 9.7.?創建過濾宏 Display Filter Macros是用來創建復雜顯示過濾器的快捷方式的工具，例如：定義一個顯示過濾宏，名稱為tcp_conv 文本為 **( (ip.src == $1and ip.dst == $2 and tcp.srcpt == $3 and tcp.dstpt == $4) or (ip.src == $2and ip.dst == $1 and tcp.srcpt == $4 and tcp.dstpt == $3) )**，以后你就可以使用**${tcp_conv:10.1.1.2;10.1.1.3;1200;1400}** 替代整個過濾字符串。顯示過濾宏可以通過[第?9.6?節 “用戶表表”](#calibre_link-177 "9.6.?用戶表表")，選擇Display Filter Macros 菜單下的View菜單進行管理。用戶表有下面兩個字段。(好像沒有所謂的User table) name 宏的名稱 text 宏的替代文本。使用$1,$2,$3...作為輸入參數時。 > **過濾宏的使用說明（譯者注）** > > 首先需要說明的是，實際上在Windows平臺GTK2環境下，并沒有看到有顯示過濾宏功能，可能有的原因有3種：1、0.99.5版本根本沒有過濾宏功能；2、我視力不好，沒看到，如果是這樣，希望誰能幫我找找。3、Windows+GTK2下面沒有，其他平臺有。 > > 這里暫且不管有沒有，我先按我的理解介紹一下宏的創建使用方法。 > > 以筆者提到的宏的例子，先說如何創建宏 > > 1. 定義宏的名稱，如范例中的tcp_conv > > > 2. 定義宏的文本部分，顯示過濾宏內容其實和顯示過濾器結構上沒有本質區別，只是將具體的值換成了參數。，比如例題中第一部分是**ip.src == $1and ip.dst == $2 and tcp.srcpt == $3 and tcp.dstpt == $4**,這里的$1,$2,$3,$4，如果在顯示過濾器中，應該是具體的ip地址和端口號，在這里使用了$1,$2,$3,$4,是作為參數。就像定義函數的參數一樣，供調用宏時傳遞參數用的。 > > > 3. 如何使用宏：如例中所示，需要在顯示過濾框輸入或在過濾表達式編輯器中應用宏，輸入宏的格式是${宏名稱:參數1;參數2;參數3;....}，參數就是定義宏時的參數的傳入值，如例中的**${tcp_conv:10.1.1.2;10.1.1.3;1200;1400}**,tcp_conv是宏名稱，10.1.1.2是$1的取值，其他類推。 > > > > 再次聲明，我裝的Wireshark并沒有這個功能。希望你們碰到這個共能時能用上。 ## 9.8.?Tektronics K12xx/15 RF5 協議表 Tektronix's K12xx/15 rf5文件格式使用helper files(*.stk)驗證指定接口的各種協議。Wireshark不能讀取stk文件，它使用一個表來識別底層協議。(這句沒整明白) Stk文件協議匹配通過[第?9.6?節 “用戶表表”](#calibre_link-177 "9.6.?用戶表表")來設置,它有兩列： match a partial match for an stk filename, the first match wins, so if you have a specific case and a general one the specific one must appear first in the list protos This is the name of the encapsulating protocol (the lowest layer in the packet data) it can be either just the name of the protocol (e.g. mtp2, eth_witoutfcs, sscf-nni ) or the name of the encapsulation protocol and the "application" protocol over it separated by a colon (e.g sscop:sscf-nni, sscop:alcap, sscop:nbap, ...) ## 9.9.?用戶 DLTs 協議表當一個pcap文件使用用戶DLTs (147 to 162)表中的一個時 ,Wireshark使用這個表來識別每個DLT表使用哪個協議。通過[第?9.6?節 “用戶表表”](#calibre_link-177 "9.6.?用戶表表")管理的DLT表有如下列： encap 一個用戶dlts表 payload_proto payload(包的最底層協議)協議名稱 header_size 如果有header協議(在payload之前)，這個選項告訴Wireshark header的大小。設置為0的話，禁止header protocol. header_proto header協議的名稱(默認使用"data") trailer_size 如果有trailer協議的話(追蹤協議，在paylod協議之后)，告訴系統它的大小。設置為0表示禁止該協議。 trailer_proto trailer協議的名稱(默認是"data") ## 9.10.?SNMP用戶表 Wireshark使用SNMP表驗證SNMPv3包的授權并進行揭秘。該表通過[第?9.6?節 “用戶表表”](#calibre_link-177 "9.6.?用戶表表")進行管理，它包括如下字段。 engine_id 如果輸入了engine id,會使用在那些engine id是這些值的包。該字段是一個16進制的字符串，值通常形式為：0102030405 userName 用戶名，當一個用戶名有多個密碼對應不同的SNMP-engines時，第一個匹配的將會被使用。if you need a catch all engine-id (empty) that entry should be the last one. 驗證模式使用什么驗證模式,(MD5或者SHA1) authPassword 授權密碼，使用"\xDD"作為非打印字符。一個16進制密碼必須輸入為"\xDD"形式。例如：16進制密碼010203040506就必須輸入為'\x01\x02\x03\x04\x05\x06'. priv_proto 使用的加密算法(DES或AES) privPassword 私有密鑰，使用"\xDD"作為非打印字符。一個16進制密碼必須輸入為"\xDD"形式。例如：16進制密碼010203040506就必須輸入為'\x01\x02\x03\x04\x05\x06'.