朱亞鋒 程光

摘 要：建設(shè)網(wǎng)絡(luò)靶場(chǎng)具有重大戰(zhàn)略意義，為了使網(wǎng)絡(luò)靶場(chǎng)更加逼真地模擬真實(shí)環(huán)境，需要在其中模擬產(chǎn)生真實(shí)網(wǎng)絡(luò)中必然存在著的惡意流量。論文在對(duì)網(wǎng)絡(luò)惡意流量的空間和時(shí)間特征分析的基礎(chǔ)之上，提出一種基于時(shí)空特性的網(wǎng)絡(luò)惡意流量生成方法。將用于入侵檢測(cè)系統(tǒng)的Snort規(guī)則庫(kù)反向解析翻譯成腳本，用以構(gòu)建惡意流量的空間特征。選用泊松模型，模擬惡意流量數(shù)據(jù)包的到達(dá)速率，模擬其時(shí)間特征。最后借助Libnet函數(shù)庫(kù)，依據(jù)時(shí)間特性發(fā)送構(gòu)造好的數(shù)據(jù)報(bào)文，模擬產(chǎn)生網(wǎng)絡(luò)惡意流量。實(shí)驗(yàn)表明，這種方法模擬產(chǎn)生的惡意流量符合真實(shí)流量特性，并且可以定制產(chǎn)生特定行為模式的惡意流量。

關(guān)鍵詞：網(wǎng)絡(luò)靶場(chǎng)；惡意流量；Snort；泊松模型

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

A malicious traffic simulation approach based on time and space features

Abstract： It is of great importance in constructing the Cyber Range. To make the Cyber Range more realistic， simulating the inevitable malicious traffic in the real network is very essential. An approach of simulating the malicious traffic based on time and space feathers is brought out in this paper. Snort Rules are reversely used to construct the spatial features and Poisson Model is applied to modeling the temporal characteristics. Finally， the packets are sent by Libnet. Experimental results indicate that the traffic generated by the proposed method satisfies the properties of the real one. Further more， it can be used to generate some specific pattern of traffic.

Key words： cyber Range； malicious traffic； snort； poisson model

1 引言

網(wǎng)絡(luò)靶場(chǎng)在支撐網(wǎng)絡(luò)空間安全技術(shù)演示和網(wǎng)絡(luò)攻防對(duì)抗演練中起著至關(guān)重要的作用[1]，越來(lái)越受到世界各國(guó)的重視。為了更加逼真地模擬現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境，需要對(duì)網(wǎng)絡(luò)靶場(chǎng)中的網(wǎng)絡(luò)流量進(jìn)行模擬生成。在真實(shí)網(wǎng)絡(luò)中，惡意流量的存在不容忽視，所以在網(wǎng)絡(luò)靶場(chǎng)流量模擬中，惡意流量也必須考慮。目前，主要有兩種主流的惡意流量產(chǎn)生方式。一是使用攻擊代碼對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備發(fā)動(dòng)攻擊，采集獲得這些攻擊流量（如攻擊測(cè)試數(shù)據(jù)集DARPA99[2]）。雖然這種方法獲取的是真實(shí)的網(wǎng)絡(luò)惡意流量，但是也有其缺點(diǎn)。首先，很多網(wǎng)絡(luò)攻擊代碼不會(huì)公開(kāi)，獲取的可能性極低，即使能夠獲取也存在滯后性。其次，攻擊代碼一般是基于不同平臺(tái)不同語(yǔ)言編寫的，對(duì)研究人員的素質(zhì)和能力等方面的要求非常高。最后，若網(wǎng)絡(luò)攻擊不能得到很好的控制，將會(huì)造成極大的損失。這些缺點(diǎn)讓很多科研人員轉(zhuǎn)向研究另一種惡意流量的產(chǎn)生方法：對(duì)網(wǎng)絡(luò)惡意流量特征進(jìn)行分析，通過(guò)搭建虛擬網(wǎng)絡(luò)環(huán)境，并根據(jù)這些特征模擬產(chǎn)生惡意流量。這種方法不需要發(fā)動(dòng)真實(shí)攻擊就可以生成惡意流量的方法成本低，可行度高，受到學(xué)術(shù)界的廣泛應(yīng)用。本文基于這一方向，通過(guò)分析網(wǎng)絡(luò)惡意流量的時(shí)間和空間特征，提出一種基于時(shí)空特性的網(wǎng)絡(luò)惡意流量產(chǎn)生方法。

2 相關(guān)研究

網(wǎng)絡(luò)應(yīng)用的多樣化使得網(wǎng)絡(luò)流量呈現(xiàn)出自相似性[3，4]，科研人員在研究中提出了不同的基于自相似性的網(wǎng)絡(luò)流量模型。主要分為單源模型（如Pareto分布）和聚合模型（ON/OFF模型[5]、分形布朗運(yùn)動(dòng)FBM模型[6]、小波變換模型[7]、自回歸積分滑動(dòng)模型ARIMA[8]、多分形小波模型MWM[9]等）。從模型驅(qū)動(dòng)方式上看，網(wǎng)絡(luò)流量生成技術(shù)主要分為兩類：一類是通過(guò)數(shù)學(xué)方法合成，模擬出這種自相似性；另一種就是根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)生成流量，最簡(jiǎn)單的就是將這些數(shù)據(jù)按包序列再發(fā)一次。但這并不能反映網(wǎng)絡(luò)的普遍特性，而只能反映某個(gè)時(shí)刻。更普遍的是獲取網(wǎng)絡(luò)流量，分析其統(tǒng)計(jì)特征，構(gòu)建流量模型，再生成所需流量。從發(fā)展歷程上看，網(wǎng)絡(luò)流量生成技術(shù)與IDS等的評(píng)測(cè)技術(shù)密不可分。Templeton和Levitt在文獻(xiàn)[10]中提出了一套網(wǎng)絡(luò)攻擊建模語(yǔ)言JIGSAW來(lái)測(cè)試入侵檢測(cè)性能。文中提到使用JIGSAW生產(chǎn)網(wǎng)絡(luò)攻擊流量的思路，但并未真實(shí)實(shí)現(xiàn)。Wan和Yang介紹了一種測(cè)試入侵檢測(cè)算法性能的平臺(tái)[11]，該平臺(tái)通過(guò)將入侵事件插入正常網(wǎng)絡(luò)事件流中，來(lái)模擬網(wǎng)絡(luò)攻擊。然而這種模擬的輸出結(jié)果依舊為入侵事件，而不是真實(shí)的攻擊數(shù)據(jù)包。王永杰等人[12]基于有限狀態(tài)自動(dòng)機(jī)提出一種網(wǎng)絡(luò)攻擊行為建模方法，但其流量產(chǎn)生器仍屬實(shí)驗(yàn)性質(zhì)，已建立的網(wǎng)絡(luò)攻擊行為模型還不夠豐富。曹龍江等人為了解決網(wǎng)絡(luò)設(shè)備測(cè)試軟件無(wú)法構(gòu)造含有特定內(nèi)容的應(yīng)用層協(xié)議流量，提出一種網(wǎng)絡(luò)應(yīng)用層流量模擬技術(shù)[13]，能夠構(gòu)造含有特定內(nèi)容的網(wǎng)絡(luò)數(shù)據(jù)并模擬HTTP、POP3等特定業(yè)務(wù)流量數(shù)據(jù)。

3 基于時(shí)空特性的網(wǎng)絡(luò)惡意流量模擬方法

3.1 網(wǎng)絡(luò)惡意流量分析

雖然網(wǎng)絡(luò)惡意流量產(chǎn)生原因很多，但是大部分惡意流量表現(xiàn)出異常時(shí)，會(huì)在時(shí)間或空間上呈現(xiàn)出一定的特征。在時(shí)間關(guān)系上，宏觀上主要表現(xiàn)為流量的突發(fā)性，直觀表現(xiàn)為網(wǎng)絡(luò)流量波形圖中的尖刺形狀；在微觀上，主要表現(xiàn)為數(shù)據(jù)包到達(dá)的過(guò)程以及數(shù)據(jù)包的發(fā)送時(shí)間。在空間關(guān)系上，主要表現(xiàn)在兩方面：節(jié)點(diǎn)產(chǎn)生大量流量、報(bào)文內(nèi)容異?；蛘唛L(zhǎng)度異常等。對(duì)于空間特性，可從不同的協(xié)議層進(jìn)行分析。網(wǎng)絡(luò)層上主要表現(xiàn)為源宿IP地址空間的異常。如發(fā)生DDoS攻擊時(shí)，會(huì)出現(xiàn)大量相同宿地址和端口的報(bào)文。在傳輸層上，惡意流量主要表現(xiàn)在流量使用的協(xié)議和報(bào)文字段上，不同的攻擊報(bào)文會(huì)出現(xiàn)SYN、ACK和FIN等標(biāo)志位的不同組合。在應(yīng)用層上，異常流量主要表現(xiàn)為含有特定字段或者包含特定負(fù)載的攻擊。例如，在Winnti1.0 C&C;服務(wù)器通信中，Winnti平臺(tái)傳輸?shù)臄?shù)據(jù)流量都會(huì)以一個(gè)特征碼0xdeadface開(kāi)始。特定流長(zhǎng)度或報(bào)文長(zhǎng)度同樣可以使流量在空間上呈現(xiàn)出異常特征，如UDP泛洪攻擊，其報(bào)文長(zhǎng)度一般為固定長(zhǎng)度。

3.2 網(wǎng)絡(luò)惡意流量空間特征構(gòu)造

Snort規(guī)則庫(kù)[14]是入侵檢測(cè)系統(tǒng)中的重要組成部分。這些規(guī)則正是基于網(wǎng)絡(luò)惡意流量所表現(xiàn)出的空間特征而設(shè)置的。Snort規(guī)則由規(guī)則頭和規(guī)則體兩部分組成，可以用括號(hào)進(jìn)行區(qū)分。規(guī)則頭部位于括號(hào)之前，規(guī)則體位于括號(hào)之中。規(guī)則頭定義了規(guī)則被觸發(fā)時(shí)的具體動(dòng)作，同時(shí)包含了使用的網(wǎng)絡(luò)協(xié)議、原宿IP及原宿端口等信息。規(guī)則體則是真實(shí)的特征，主要為Snort規(guī)則選項(xiàng)的具體設(shè)置信息。下面是一條Snort規(guī)則實(shí)例，Alert tcp EXTERNAL_NET any->131.163.67.8 23764（msg："DDoS mstream client to handler"；content：">"；flags：A+； sid：1497；），含義是目的IP 為131.163.67.8，端口號(hào)為23764的TCP連接中，報(bào)文字段中含有“>”，并且 TCP標(biāo)志位中的ACK位置為1時(shí)，便向網(wǎng)管發(fā)出警報(bào)，提示這是一條DDoS僵尸機(jī)與控制機(jī)的連接報(bào)文。

3.2.1預(yù)處理模塊-規(guī)則腳本的生成

Snort規(guī)則選項(xiàng)字段有很多，但其最主要的選項(xiàng)可以歸納為三個(gè)部分，即報(bào)文流向、網(wǎng)絡(luò)層和傳輸層的頭部字段以及報(bào)文的負(fù)載內(nèi)容。其余更為詳細(xì)的選項(xiàng)則是為了提高檢出效率而設(shè)置的，而在構(gòu)造惡意流量報(bào)文時(shí)只需關(guān)注每個(gè)字段的取值，因而這部分規(guī)則可以忽略。所以，對(duì)于Snort規(guī)則文件可以添加一步預(yù)處理工作，讀取一條Snort規(guī)則，將關(guān)鍵規(guī)則選項(xiàng)翻譯成結(jié)構(gòu)體數(shù)組中的一個(gè)元素，以二進(jìn)制格式文件單獨(dú)存儲(chǔ)，稱為規(guī)則腳本文件。一個(gè)結(jié)構(gòu)體數(shù)組元素就對(duì)應(yīng)著一條Snort規(guī)則，存儲(chǔ)的是一個(gè)攻擊報(bào)文各字段取值的值域。該結(jié)構(gòu)體的各變量及取值描述如表1所示。然后程序讀取結(jié)構(gòu)體，從各變量的值域中選取合適的值填寫報(bào)文字段，構(gòu)造一個(gè)攻擊報(bào)文案例。

3.2.2 報(bào)文翻譯時(shí)字段取值策略

翻譯程序讀取規(guī)則腳本文件中具體的結(jié)構(gòu)體，在結(jié)構(gòu)體的每個(gè)變量描述的值域中選取一個(gè)特定的值，將每個(gè)變量進(jìn)行組合就會(huì)構(gòu)成一個(gè)攻擊報(bào)文案例。值的選擇可以采用最簡(jiǎn)單的隨機(jī)法。對(duì)于IP地址來(lái)說(shuō)，每個(gè)報(bào)文都擁有此字段，若采用隨機(jī)法生成，可能會(huì)遇到問(wèn)題：隨機(jī)生成出的IP地址會(huì)生成一些在真實(shí)網(wǎng)絡(luò)環(huán)境中不會(huì)被路由器采集下來(lái)的地址，如私有地址，環(huán)回測(cè)試地址以及網(wǎng)絡(luò)地址全0或者主機(jī)地址全1的地址等。如表3對(duì)這些地址做了統(tǒng)計(jì)分析。

從表3的統(tǒng)計(jì)可以計(jì)算出，若使用純隨機(jī)法獲取IP地址，則出現(xiàn)非法IP的概率約為13.8%，可以有兩種方法解決上述問(wèn)題。一是在IP的值選取時(shí)，依托于真實(shí)的網(wǎng)絡(luò)流量。由于邊界路由器抓取的流量，其源宿IP分別為內(nèi)外網(wǎng)IP，由于內(nèi)網(wǎng)IP是已知的，所以只需對(duì)外網(wǎng)IP地址進(jìn)行統(tǒng)計(jì)，然后根據(jù)出現(xiàn)概率的大小選取外網(wǎng)IP地址。二是，對(duì)于非常規(guī)攻擊，受攻擊主機(jī)都會(huì)跟遠(yuǎn)端的命令與控制服務(wù)器（C&C;）進(jìn)行通信，安全公司對(duì)這些C&C;服務(wù)器的IP地址進(jìn)行了整理總結(jié)，所以源宿IP的網(wǎng)外地址可以從這些IP中隨機(jī)選取。

對(duì)于IP頭部、TCP頭部或者UDP頭部，除了依據(jù)Snort規(guī)則填充相應(yīng)字段外，其余字段的值域都是確定的，因而可以用隨機(jī)法進(jìn)行填充。

對(duì)于應(yīng)用層負(fù)載來(lái)說(shuō)，每個(gè)Snort規(guī)則描述的字符串取值的可能性很多，且可能出現(xiàn)同一條規(guī)則含有多個(gè)特征串選項(xiàng)，即含有多個(gè)SignatureStr結(jié)構(gòu)體。使用排列組合方法，如果每個(gè)SignatureStr有個(gè)取值，共有個(gè)數(shù)據(jù)組合，文中采用隨機(jī)法依次選擇某個(gè)規(guī)則的某個(gè)特征串，用于構(gòu)建負(fù)載內(nèi)容。這樣既可以實(shí)現(xiàn)對(duì)已知惡意流量的模擬，同時(shí)也可以通過(guò)組合不同的特征串模擬出某種未知的惡意流量。

3.3 惡意流量時(shí)間特性

在上文分析中提到，網(wǎng)絡(luò)惡意流量的時(shí)間特性主要體現(xiàn)在數(shù)據(jù)包的到達(dá)過(guò)程或數(shù)據(jù)包的發(fā)送時(shí)間。從到達(dá)過(guò)程考慮，可以近似認(rèn)為滿足三個(gè)特點(diǎn)[15]。

（1）在不同的時(shí)間段內(nèi)，數(shù)據(jù)包的到達(dá)相互獨(dú)立。

（2）在任意小的時(shí)間段Δt內(nèi)，一個(gè)數(shù)據(jù)包到達(dá)的概率與起始時(shí)間無(wú)關(guān)。

（3）在任意小的時(shí)間段Δt內(nèi)，到達(dá)的數(shù)據(jù)包個(gè)數(shù)服從0-1分布。

用λ表示單位時(shí)間內(nèi)到達(dá)的數(shù)據(jù)包概率，吖Pk（t）表示t時(shí)間內(nèi)到達(dá)k個(gè)數(shù)據(jù)包。則在任意小的時(shí)間Δt內(nèi)到達(dá)一個(gè)包的概率為λΔt，將時(shí)間t分成n個(gè)時(shí)間段，則t內(nèi)到達(dá)k個(gè)數(shù)據(jù)包的概率為：

（1）

當(dāng)n→∞時(shí)，推導(dǎo)可知該二項(xiàng)分布近似服從泊松分布，最后得到：

（2）

從公式（2）可知，在t時(shí)間內(nèi)到達(dá)k個(gè)數(shù)據(jù)包的概率符合參數(shù)為λt的泊松分布。推導(dǎo)可知數(shù)據(jù)包到達(dá)時(shí)間間隔服從參數(shù)為λ的指數(shù)分布。泊松模型假設(shè)網(wǎng)絡(luò)事件只與一個(gè)單一的速率參數(shù)λ有關(guān)。通過(guò)給定攻擊強(qiáng)度，設(shè)置發(fā)包時(shí)間服從指數(shù)分布，即可模擬出泊松到達(dá)的數(shù)據(jù)包。

3.4 網(wǎng)絡(luò)惡意流量生成

根據(jù)上文分析的時(shí)空特性，按照如圖1所示的網(wǎng)絡(luò)惡意流量模擬生成流程圖模擬生成惡意網(wǎng)絡(luò)流量。從Snort規(guī)則庫(kù)的選擇一條規(guī)則，將規(guī)則翻譯成攻擊腳本，生成一個(gè)腳本文件文件，從該文件中讀取一個(gè)結(jié)構(gòu)體，按照需求配置網(wǎng)絡(luò)惡意流量的報(bào)文內(nèi)容。流量發(fā)生器根據(jù)指數(shù)分布的時(shí)間間隔，借助Libnet函數(shù)庫(kù)將構(gòu)造好的數(shù)據(jù)報(bào)文發(fā)送出去，同時(shí)使用Libpcap抓取流量存入模擬流量庫(kù)中。

4 實(shí)驗(yàn)分析

實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境如圖2所示。其中控制端和接收端是真實(shí)主機(jī)，使用交換機(jī)連接入校園網(wǎng)。其余均為借助VMware搭建出的虛擬機(jī)，與主機(jī)橋接，整個(gè)實(shí)驗(yàn)環(huán)境可以視為同一局域網(wǎng)。匯集點(diǎn)是一個(gè)裝有Ubuntu的虛擬機(jī)，通過(guò)設(shè)置net.ipv4.ip_forward=1使其具有路由功能，虛擬機(jī)的默認(rèn)路由均指向該匯集點(diǎn)?？刂贫诉\(yùn)行Snort翻譯程序，并將需要構(gòu)造的攻擊流量的腳本發(fā)送至各虛擬機(jī)。虛擬機(jī)讀取來(lái)自控制端的腳本，根據(jù)要求構(gòu)造出惡意流量報(bào)文，根據(jù)設(shè)置好的時(shí)間間隔發(fā)送數(shù)據(jù)包產(chǎn)生流量。匯集點(diǎn)采集這些流量并保存發(fā)送至接收端。

對(duì)于常規(guī)攻擊，如DDoS、掃描等，這些攻擊基本上沒(méi)有特定的應(yīng)用層負(fù)載，需要控制的主要是數(shù)據(jù)包的到達(dá)速率，以模擬不同強(qiáng)度的攻擊。如圖3所示模擬的是攻擊強(qiáng)度為3500個(gè)/秒的UDP Flood攻擊，持續(xù)時(shí)間為28秒。圖中橫坐標(biāo)表示攻擊持續(xù)的時(shí)間，縱坐標(biāo)表示報(bào)文的到達(dá)速率。

對(duì)于非常規(guī)攻擊，例如“IXESHE”利用攜帶惡意附件的電子郵件來(lái)破壞受害者的系統(tǒng)。一旦惡意軟件被安裝，它就開(kāi)始和三臺(tái)遠(yuǎn)程命令與控制服務(wù)器通信，服務(wù)器通常配置三個(gè)端口：80、443和8080。網(wǎng)絡(luò)通信通過(guò)HTTP協(xié)議傳輸，其URL遵循下面的格式：/[ACD][EW]S[Some Numbers].jsp？[Encrypted Base64 Blob]。通信模式是每30秒發(fā)送一個(gè)跟C&C;服務(wù)器的通信報(bào)文。如圖4所示是實(shí)驗(yàn)?zāi)M的具有該特征的網(wǎng)絡(luò)異常流量。左上角框標(biāo)記的是按照其通信模式生成的時(shí)間戳；右下角框標(biāo)記的是符合其通信特征的負(fù)載；中間箭頭標(biāo)記的是其與服務(wù)器的80端口通信。

5 結(jié)束語(yǔ)

本文在國(guó)家網(wǎng)絡(luò)靶場(chǎng)研究的大背景下，研究網(wǎng)絡(luò)惡意流量的生成技術(shù)。通過(guò)對(duì)網(wǎng)絡(luò)惡意流量特征的分析，提出一種基于時(shí)空特性的網(wǎng)絡(luò)惡意流量生成技術(shù)。通過(guò)對(duì)Snort規(guī)則庫(kù)的解析翻譯，分別配置網(wǎng)絡(luò)惡意流量報(bào)文網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的數(shù)據(jù)內(nèi)容，以模擬惡意流量的空間特征。利用泊松模型模擬包的到達(dá)速率，以刻畫網(wǎng)絡(luò)惡意流量的時(shí)間特征。最后，通過(guò)Libnet按照計(jì)算得出的時(shí)間序列，發(fā)送構(gòu)造出的數(shù)據(jù)包。同時(shí)使用Libpcap抓取這些數(shù)據(jù)包并存儲(chǔ)得到模擬的惡意網(wǎng)絡(luò)流量。實(shí)驗(yàn)表明，本文提出的方法可以不依賴于攻擊代碼模擬產(chǎn)生惡意網(wǎng)絡(luò)流量。同時(shí)由于文中提出的時(shí)間和空間特性均可配置，所以本文方法是可以擴(kuò)展的，只要給定各層報(bào)內(nèi)容特征，并賦予一定的時(shí)間序列特性，就可以對(duì)未知惡意流量進(jìn)行模擬生成。

基金項(xiàng)目：

論文獲得國(guó)家重點(diǎn)研發(fā)計(jì)劃：SDN/NFV與NDN安全研究（項(xiàng)目編號(hào)：2017YFB0801703）和國(guó)家自然科學(xué)基金青年基金：基于網(wǎng)絡(luò)編碼的信息中心網(wǎng)絡(luò)研究（項(xiàng)目編號(hào)：61602114）支持。

參考文獻(xiàn)

[1]方濱興， 賈焰， 李愛(ài)平，等.網(wǎng)絡(luò)空間靶場(chǎng)技術(shù)研究[J].信息安全學(xué)報(bào)， 2016， 1（3）：1-9.

[2] 郝震華，矯文成，郝大為，等.基于ON/OFF模型的網(wǎng)絡(luò)流量產(chǎn)生器的設(shè)計(jì)與實(shí)現(xiàn)[J].科學(xué)技術(shù)與工程， 2008， 8（12）：3219-3223.

[3] 盧穎，裴承艷，陳子辰，等.基于FBM模型的自相似流量建模仿真[J].電子設(shè)計(jì)工程， 2011， 19（17）：101-104.

[4]胡俊，胡玉清，肖中卿.基于小波變換的網(wǎng)絡(luò)流量預(yù)測(cè)模型[J].計(jì)算機(jī)工程， 2008， 34（19）：112-114.

[5]崔文亮.基于ARIMA模型的網(wǎng)絡(luò)流量預(yù)測(cè)[J].軟件， 2012， 33（11）：221-223.

[6] 王永杰，鮮明，陳志杰，等.一種網(wǎng)絡(luò)攻擊流量生成器的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)科學(xué)， 2007， 34（2）：64-67.

[7] 曹龍江，張勖，王錕，等.網(wǎng)絡(luò)應(yīng)用流量模擬技術(shù)[J].軟件， 2015（2）：14-19.

[8] 劉華陽(yáng).網(wǎng)絡(luò)系統(tǒng)仿真中的流量模型研究[J].軍民兩用技術(shù)與產(chǎn)品， 2006（2）：42-43.