1. evasion7，IPS是什么东西？

IPS原理 防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。入侵检测技术(IDS)通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可施。绝大多数 IDS 系统都是被动的，而不是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。而IPS则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。 IPS工作原理 IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查，不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查，因而也就无法发现攻击活动，而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。 针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。 过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统，不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义，因为传统的软件解决方案必须串行进行过滤检查，会导致系统性能大打折扣。 IPS的种类 * 基于主机的入侵防护(HIPS) HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品，因此它们在防范红色代码和Nimda的攻击中，起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。 在技术上，HIPS采用独特的服务器保护途径，利用由包过滤、状态包检测和实时入侵检测组成分层防护体系。这种体系能够在提供合理吞吐率的前提下，最大限度地保护服务器的敏感内容，既可以以软件形式嵌入到应用程序对操作系统的调用当中，通过拦截针对操作系统的可疑调用，提供对主机的安全防护;也可以以更改操作系统内核程序的方式，提供比操作系统更加严谨的安全控制机制。 由于HIPS工作在受保护的主机/服务器上，它不但能够利用特征和行为规则检测，阻止诸如缓冲区溢出之类的已知攻击，还能够防范未知攻击，防止针对Web页面、应用和资源的未授权的任何非法访问。HIPS与具体的主机/服务器操作系统平台紧密相关，不同的平台需要不同的软件代理程序。 * 基于网络的入侵防护(NIPS) NIPS通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。 NIPS必须基于特定的硬件平台，才能实现千兆级网络流量的深度数据包检测和阻断功能。这种特定的硬件平台通常可以分为三类：一类是网络处理器(网络芯片)，一类是专用的FPGA编程芯片，第三类是专用的ASIC芯片。 在技术上，NIPS吸取了目前NIDS所有的成熟技术，包括特征匹配、协议分析和异常检测。特征匹配是最广泛应用的技术，具有准确率高、速度快的特点。基于状态的特征匹配不但检测攻击行为的特征，还要检查当前网络的会话状态，避免受到欺骗攻击。 协议分析是一种较新的入侵检测技术，它充分利用网络协议的高度有序性，并结合高速数据包捕捉和协议分析，来快速检测某种攻击特征。协议分析正在逐渐进入成熟应用阶段。协议分析能够理解不同协议的工作原理，以此分析这些协议的数据包，来寻找可疑或不正常的访问行为。协议分析不仅仅基于协议标准(如RFC)，还基于协议的具体实现，这是因为很多协议的实现偏离了协议标准。通过协议分析，IPS能够针对插入(Insertion)与规避(Evasion)攻击进行检测。异常检测的误报率比较高，NIPS不将其作为主要技术。 * 应用入侵防护(AIP) NIPS产品有一个特例，即应用入侵防护(Application Intrusion Prevention，AIP)，它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备，配置在应用数据的网络链路上，以确保用户遵守设定好的安全策略，保护服务器的安全。NIPS工作在网络上，直接对数据包进行检测和阻断，与具体的主机/服务器操作系统平台无关。 NIPS的实时检测与阻断功能很有可能出现在未来的交换机上。随着处理器性能的提高，每一层次的交换机都有可能集成入侵防护功能。 IPS技术特征 嵌入式运行：只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护，实时阻拦所有可疑的数据包，并对该数据流的剩余部分进行拦截。 深入分析和控制：IPS必须具有深入分析能力，以确定哪些恶意流量已经被拦截，根据攻击类型、策略等来确定哪些流量应该被拦截。 入侵特征库：高质量的入侵特征库是IPS高效运行的必要条件，IPS还应该定期升级入侵特征库，并快速应用到所有传感器。 高效处理能力：IPS必须具有高效处理数据包的能力，对整个网络性能的影响保持在最低水平。 IPS面临的挑战 IPS 技术需要面对很多挑战，其中主要有三点：一是单点故障，二是性能瓶颈，三是误报和漏报。设计要求IPS必须以嵌入模式工作在网络中，而这就可能造成瓶颈问题或单点故障。如果IDS 出现故障，最坏的情况也就是造成某些攻击无法被检测到，而嵌入式的IPS设备出现问题，就会严重影响网络的正常运转。如果IPS出现故障而关闭，用户就会面对一个由IPS造成的拒绝服务问题，所有客户都将无法访问企业网络提供的应用。 即使 IPS 设备不出现故障，它仍然是一个潜在的网络瓶颈，不仅会增加滞后时间，而且会降低网络的效率，IPS必须与数千兆或者更大容量的网络流量保持同步，尤其是当加载了数量庞大的检测特征库时，设计不够完善的 IPS 嵌入设备无法支持这种响应速度。绝大多数高端 IPS 产品供应商都通过使用自定义硬件(FPGA、网络处理器和ASIC芯片)来提高IPS的运行效率。 误报率和漏报率也需要IPS认真面对。在繁忙的网络当中，如果以每秒需要处理十条警报信息来计算，IPS每小时至少需要处理 36,000 条警报，一天就是 864,000 条。一旦生成了警报，最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不是十分完善，那么"误报"就有了可乘之机，导致合法流量也有可能被意外拦截。对于实时在线的IPS来说，一旦拦截了"攻击性"数据包，就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分，其结果可想而知，这个客户整个会话就会被关闭，而且此后该客户所有重新连接到企业网络的合法访问都会被"尽职尽责"的IPS拦截。 IPS厂商采用各种方式加以解决。一是综合采用多种检测技术，二是采用专用硬件加速系统来提高IPS的运行效率。尽管如此，为了避免IPS重蹈IDS覆辙，厂商对IPS的态度还是十分谨慎的。例如，NAI提供的基于网络的入侵防护设备提供多种接入模式，其中包括旁路接入方式，在这种模式下运行的IPS实际上就是一台纯粹的IDS设备，NAI希望提供可选择的接入方式来帮助用户实现从旁路监听向实时阻止攻击的自然过渡。 IPS的不足并不会成为阻止人们使用IPS的理由，因为安全功能的融合是大势所趋，入侵防护顺应了这一潮流。对于用户而言，在厂商提供技术支持的条件下，有选择地采用IPS，仍不失为一种应对攻击的理想选择。

2. 网络入侵检测的一些定义？

入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： · 监视、分析用户及系统活动； · 系统构造和弱点的审计； · 识别反映已知进攻的活动模式并向相关人士报警； · 异常行为模式的统计分析； · 评估重要系统和数据文件的完整性； · 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。编辑本段分类情况 入侵检测系统所采用的技术可分为特征检测与异常检测两种。特征检测 特征检测 (Signature-based detection) 又称 Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。异常检测 异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。编辑本段工作步骤 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。编辑本段常用术语 随着IDS（入侵检测系统）的超速发展，与之相关的术语同样急剧演变。本文向大家介绍一些IDS技术术语，其中一些是非常基本并相对通用的，而另一些则有些生僻。由于IDS的飞速发展以及一些IDS产商的市场影响力，不同的产商可能会用同一个术语表示不同的意义，从而导致某些术语的确切意义出现了混乱。对此，本文会试图将所有的术语都囊括进来。Alert （警报） 当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员。如果控制台与IDS系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示。如果是远程控制台，那么alert将通过IDS系统内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员。Anomaly （异常） 当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警。一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时 入侵检测图片(2)，IDS就会告警，例如有人做了以前他没有做过的事情的时候，例如，一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此方法看做启发式功能，但一个启发式的IDS应该在其推理判断方面具有更多的智能。Appliance （IDS硬件） 除了那些要安装到现有系统上去的IDS软件外，在市场的货架上还可以买到一些现成的IDS硬件，只需将它们接入网络中就可以应用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。ArachNIDS ArachNIDS是由Max Visi开发的一个攻击特征数据库，它是动态更新的，适用于多种基于网络的入侵检测系统。 ARIS：Attack Registry & Intelligence Service（攻击事件注册及智能服务） ARIS是SecurityFocus公司提供的一个附加服务，它允许用户以网络匿名方式连接到Internet上向SecurityFocus报送网络安全事件，随后SecurityFocus会将这些数据与许多其它参与者的数据结合起来，最终形成详细的网络安全统计分析及趋势预测，发布在网络上。它的URL地址是。Attack （攻击） Attacks可以理解为试图渗透系统或绕过系统的安全策略，以获取信息、修改信息以及破坏目标网络或系统功能的行为。以下列出IDS能够检测出的最常见的Internet攻击类型： 攻击类型1－DOS（Denial Of Service attack，拒绝服务攻击）：DOS攻击不是通过黑客手段破坏一个系统的安全，它只是使系统瘫痪，使系统拒绝向其用户提供服务。其种类包括缓冲区溢出、通过洪流（flooding）耗尽系统资源等等。 攻击类型2－DDOS（Distributed Denial of Service，分布式拒绝服务攻击）：一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击，却无法发出足够的信息包来达到理想的结果，因此就产生了DDOS，即从多个分散的主机一个目标发动攻击，耗尽远程系统的资源，或者使其连接失效。 攻击类型3－Smurf：这是一种老式的攻击，但目前还时有发生，攻击者使用攻击目标的伪装源地址向一个smurf放大器广播地址执行ping操作，然后所有活动主机都会向该目标应答，从而中断网络连接。 攻击类型4－Trojans（特洛伊木马）：Trojan这个术语来源于古代希腊人攻击特洛伊人使用的木马，木马中藏有希腊士兵，当木马运到城里，士兵就涌出木马向这个城市及其居民发起攻击。在计算机术语中，它原本是指那些以合法程序的形式出现，其实包藏了恶意软件的那些软件。这样，当用户运行合法程序时，在不知情的情况下，恶意软件就被安装了。但是由于多数以这种形式安装的恶意程序都是远程控制工具，Trojan这个术语很快就演变为专指这类工具，例如BackOrifice、SubSeven、NetBus等等。Automated Response （自动响应） 除了对攻击发出警报，有些IDS还能自动抵御这些攻击。抵御方式有很多：首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流；其次，通过在网络上发送reset包切断连接。但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后IDS就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了。发送reset包的方法要求有一个活动的网络接口，这样它将置于攻击之下，一个补救的办法是：使活动网络接口位于防火墙内，或者使用专门的发包程序，从而避开标准IP栈需求。CERT （Computer Emergency Response Team，计算机应急响应小组） 这个术语是由第一支计算机应急反映小组选择的，这支团队建立在Carnegie Mellon大学，他们对计算机安全方面的事件做出反应、采取行动。现在许多组织都有了CERT，比如CNCERT/CC（中国计算机网络应急处理协调中心）。由于emergency这个词有些不够明确，因此许多组织都用Incident这个词来取代它，产生了新词Computer Incident Response Team（CIRT），即计算机事件反应团队。response这个词有时也用handling来代替，其含义是response表示紧急行动，而非长期的研究。CIDF （Common Intrusion Detection Framework；通用入侵检测框架） CIDF力图在某种程度上将入侵检测标准化，开发一些协议和应用程序接口，以使入侵检测的研究项目之间能够共享信息和资源，并且入侵检测组件也能够在其它系统中再利用。CIRT （Computer Incident Response Team，计算机事件响应小组） CIRT是从CERT演变而来的，CIRT代表了对安全事件在哲学认识上的改变。CERT最初是专门针对特定的计算机紧急情况的，而CIRT中的术语incident则表明并不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。CISL （Common Intrusion Specification Language，通用入侵规范语言） CISL是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试，因此CISL就是对入侵检测研究的语言进行标准化的尝试。CVE （Common Vulnerabilities and Exposures，通用漏洞披露） 关于漏洞的一个老问题就是在设计扫描程序或应对策略时，不同的厂商对漏洞的称谓也会完全不同。还有，一些产商会对一个漏洞定义多种特征并应用到他们的IDS系统中，这样就给人一种错觉，好像他们的产品更加有效。MITRE创建了CVE，将漏洞名称进行标准化，参与的厂商也就顺理成章按照这个标准开发IDS产品。Crafting Packet （自定义数据包） 建立自定义数据包，就可以避开一些惯用规定的数据包结构，从而制造数据包欺骗，或者使得收到它的计算机不知该如何处理它。Desynchronization （同步失效） Desynchronization这个术语本来是指用序列数逃避IDS的方法。有些IDS可能会对它本来期望得到的序列数感到迷惑，从而导致无法重新构建数据。这一技术在1998年很流行，现在已经过时了，有些文章把desynchronization这个术语代指其它IDS逃避方法。Eleet 当黑客编写漏洞开发程序时，他们通常会留下一个签名，其中最声名狼藉的一个就是elite。如果将eleet转换成数字，它就是31337，而当它是指他们的能力时，elite=eleet，表示精英。31337通常被用做一个端口号或序列号。目前流行的词是“skillz”。Enumeration （列举） 经过被动研究和社会工程学的工作后，攻击者就会开始对网络资源进行列举。列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。由于现在的行动不再是被动的，它就有可能被检测出来。当然为了避免被检测到，他们会尽可能地悄悄进行。Evasion （躲避） Evasion是指发动一次攻击，而又不被IDS成功地检测到。其中的窍门就是让IDS只看到一个方面，而实际攻击的却是另一个目标，所谓明修栈道，暗渡陈仓。Evasion的一种形式是为不同的信息包设置不同的TTL（有效时间）值，这样，经过IDS的信息看起来好像是无害的，而在无害信息位上的TTL比要到达目标主机所需要的TTL要短。一旦经过了IDS并接近目标，无害的部分就会被丢掉，只剩下有害的。Exploit （漏洞利用） 对于每一个漏洞，都有利用此漏洞进行攻击的机制。为了攻击系统，攻击者编写出漏洞利用代码或教本。 对每个漏洞都会存在利用这个漏洞执行攻击的方式，这个方式就是Exploit。为了攻击系统，黑客会编写出漏洞利用程序。 漏洞利用：Zero Day Exploit（零时间漏洞利用） 零时间漏洞利用是指还未被了解且仍在肆意横行的漏洞利用，也就是说这种类型的漏洞利用当前还没有被发现。一旦一个漏洞利用被网络安全界发现，很快就会出现针对它的补丁程序，并在IDS中写入其特征标识信息，使这个漏洞利用无效，有效地捕获它。False Negative （漏报） 漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。 False Positives（误报） 误报是指实际无害的事件却被IDS检测为攻击事件。 Firewalls（防火墙） 防火墙是网络安全的第一道关卡，虽然它不是IDS，但是防火墙日志可以为IDS提供宝贵信息。防火墙工作的原理是根据规则或标准，如源地址、端口等，将危险连接阻挡在外。FIRST （Forum of Incident Response and Security Teams，事件响应和安全团队论坛） FIRST是由国际性政府和私人组织联合起来交换信息并协调响应行动的联盟，一年一度的FIRST受到高度的重视。Fragmentation

3. 盗贼野外pvp天赋及手法？

盗贼在野外PVP中的天赋和技巧可以根据个人的喜好和战略进行选择和运用。以下是一些常见的天赋和手法：1. 暗影之舞（Shadow Dance）天赋：提供了更多的控制技能和爆发伤害。在战斗开始时使用，并在敌人的防御技能冷却时发动突袭。2. 放逐（Banish）手法：对敌人使用放逐来打断他们的施法，尤其是对于其他职业的治疗者特别有效。3. 吸血手法（Vampiric Embrace）：在战斗开始时使用吸血手法，使自己对伤害的承受减少，并从敌人身上恢复一定的生命值。4. 疾跑（Sprint）手法：在需要迅速逃离战斗或追赶敌人时使用疾跑可以给自己增加移动速度，提高机动性。5. 潜行（Stealth）手法：在野外PVP中，潜行是盗贼最常使用的技巧之一。可以在战斗之前潜行接近敌人，或者在战斗中利用潜行来迷惑对手和转换战术。6. 终结技能（Finishing Moves）：在与敌人进行战斗时，积攒上封喉（Kidney Shot）和肾击（Cheap Shot）等终结技能，以控制敌人并造成爆发伤害。7. 偷袭（Ambush）手法：利用偷袭来以高额伤害开始战斗，尤其是对于脆弱的目标非常有效。8. 躲闪（Evasion）手法：在遭受大量伤害时使用躲闪来减少敌人的攻击命中率。总之，盗贼在野外PVP中的表现取决于玩家的技巧和战略，天赋和手法的选择应根据实际情况和个人偏好进行调整和优化。

4. 流放之路召唤物怎么自动攻击敌人？

方法/步骤分步阅读

1

/6

战斗的时候点一下英雄的名字，变蓝色就自动攻击了，是不是很简单

2

/6

流放之路技巧技能分享

1. 为什么格挡Build都很硬？

其实格挡和闪避(Evasion)作用机制是完全一样的，一定几率免受攻击伤害。闪避本身效果甚至比格挡还要好点——因为闪避掉的攻击不会引起硬直(Stun)而格挡掉的攻击会带来格挡硬直(Block Stun)。那为什么大家都觉得格挡角色更硬而闪避角色很软呢？这要从数值设计说起了。

游戏里格挡的来源是格挡率，这个数值完全是静态的，不随任何场景变化而变化。如果我装备上有40%格挡率，天赋有30%，那么我在任何地图面对任何敌人就是70%格挡。而游戏里闪避的来源是闪避值，这个值可以堆得很高很高，但是由于一些特殊的计算公式，闪避值在高级地图很难带来可靠的闪避率。我们以72级地图的74级tu夫boss为例，如果玩家有17929闪避值，那么他有50%几率闪避tu夫攻击，如果玩家有23039闪避值，那么他有55%几率闪避tu夫攻击;如果玩家想达到60%闪避率，那么闪避值要求达到了惊人的31555——这是个一般玩家根本无法保持的值。而72图夫只是个比较正常的后期图，如果想打78的终极地图，即使面对小怪，玩家也需要29051的闪避值来保证55%的闪避率，需要37527的闪避值来达到60%闪避率，这基本属于不可能的任务了。

所以，一般玩家如果选择闪避流，后期闪避率可能只在50%~55%徘徊，而合格的格挡号格挡率基本都达到了70%，可别小看20%上下的差距，根据边际效应，一个75%几率回避攻击的角色生存力是50%几率回避攻击的角色的两倍。

3

/6

2. 为什么近战职业天赋不需要增强伤害天赋？

谈及这个，先要说说Increased这类修正的作用方式。在游戏计算任何数据时，针对该数据的Increased类型修正会相加后计算。假如你从天赋获得了100% increased火焰伤害，从装备上获得了60%，那么最终你的火系伤害会被加强160%也就是乘以2.6，而不是先乘以2再乘以1.6。

对一个身上没有多少increased修正的角色来说，一点点increased都会带来较大改变，而对于已经有大量increased修正的人物，再堆叠此类属性就几乎看不到效果了。如果一个人物已经拥有了400%增强物理伤害，然后即使他花掉十点天赋点又点出了100%增强物理伤害，他的面板只不过会提升20%左右。

这就是为什么近战角色不需要天赋里的伤害点——因为他基础的增强伤害已经很高了。那么近战角色到底从哪里得到了这些增强伤害呢？首先力量上，近战角色一般都能有90%到100%的增强物理伤害(对应450到500力量);其次，大部分物理技能升级都会带来大量的increase物理伤害，比如重击有95%，旋风斩有76%;最后，许多近战支持宝石也有increase物理伤害属性，比如多重的54%，近战溅射的54%。所以一个近战号即使不点任何天赋，他也会自带250%上下的increase物理伤害，这时候如果他花了三点又增加了50%物理伤害，最后面板提升14%左右，远远低于50%的期望值。

而弓手职业就比较不同了，弓箭没有力量加成，而且完全没有诸如多重/溅射这类带大量increased修正的辅助宝石(LMP，FP一般只有20%左右的修正)，最后导致弓手自带increase可能只在150%上下，50%天赋中的增伤能带来20%以上的收益。

法系情况与弓手类似，区别在于法术宝石基本不带increase而装备上往往有好几十的increase spell damage。最后一个装备正常的法系自带的修正也在120%上下，天赋的增伤点也很有价值。

最后一点值得注意的，近战系虽然加成众多，单往往都是物理限定，这也就是为什么近战武器的元素伤害即使再高，最后依然无法挑起大梁的原因。因为自带的超高物理增伤修正，1点物理伤害价值超过6~7点元素伤害。而弓手的伤害修正大部分属于增强投射物伤害，对元素物理一视同仁。这也就是为什么有光环元素灵投流而不见光环元素近战流的原因。

4

/6

3. 多光环流很厉害吗？

实际上并非如此，游戏里一大堆光环，对单打独斗的玩家而言(召唤不在此列)堪用的寥寥可数。

最实用的其实是冰环，顶级效果是增加等同于36%物理伤害的冰伤害。一切物理角色包括大部分近战/物理弓/EK法师都可以通过冰环获得输出质变，提升面板在25%~35%之间。

第二实用的我觉得是回蓝环。事实上游戏里除了旋风以外的所有近战技能，在5L时候的耗蓝都可以通过三四点的天赋配合低级回蓝环来解决。技能本身可以多出一个孔，不管插哪个辅助宝石都会有最少20%的输出提升，这是几个天赋点无论如何带不来的。更何况回蓝环本身可以用血开，8级回蓝环耗血不到300，还是可以承受的，技能连了血魔法也要扣血不是？

除却冰环以外的光环，基本都只在特定build有效果。

三单抗环出场率还可以，什么时候用应该不用我教。反正你觉得某个boss技能特别不科学就开个对应的环上去打脸好了。

火环电环顶级增加大约150点元素DPH或者1000点上下的DPS。在一般物理角色身上，效果都不到冰环的1/2。唯独光环灵投流因为灵投本身是投射物加成而非物理加成，所以会用到火电环，同时混沌弓因为伤害转换会用到电环。

戒律环顶级增加不到400的护盾。对于CI角色是必开，对其他Build则因为大幅削弱过而显得性价比很低。

5

/6

闪避环顶级能增加2000多点闪避值，在60级以前对任何角色都效果拔群。新人开荒老是死我一般推荐他们开个闪避环就OK了。但是到了第三难度中期闪避环的效果就不给力了，而且这时候一般都要免晕。所以除了一些敏捷很高的角色，其他的“单开”闪避环意义不大。

护甲环顶级能增加51%more护甲值，注意是More而非Increase，基础护甲越高光环效果越强。在我看来，除非你不开环已经7000+护甲，否则开不开意义不大。我一直觉得不到10000的护甲在后期地图和没有差不多。

但是如果角色同时具备“闪转甲”以及适当的闪避或护甲天赋，同时开启闪避+护甲环很可能比不开多出一万点以上的最终护甲值，这就非常非常可观了。这就导致护甲环和闪避环最好一起开。还要搭配搭配闪转甲天赋。

加速在顶级给予玩家16%攻速16%施法速度9%移动速度。在我看来这是个真心鸡肋的光环，16%攻速/施法速度在天赋里也就价值4~5个点吧，但是多开一个环的代价一般远不止这么些点了。除非该build特别依赖速度而且把路上能点的都点了，否则真心不建议开这个光环。

全抗环在没有上限提升后也变成了鸡肋。我目前没有发现任何build在吼球的情况下依然很难达到三抗上限的。开荒时候可以开，但是后期必定要舍弃的玩意儿。

回血是我最最不建议的光环了。顶级不到1.7%的秒回，话说Scion老头蛮子决斗都有很多1点1%秒回的点耶...

6

/6

4. 双持需要两把好武qi吗？

一般情况下双持需要两把好武器才能发挥最大效果，因为双持总是双手轮换攻击，烂武器会拖累整体DPS。

但是也有例外，比如双击(DoubleStrike)，锄大地和跃击就是永远使用主手武器的(装备屏幕左边那个武器)。而重击和地狱打击严格限制了使用武器，当你双持匕首或爪时，匕首和爪永远不会用来发动攻击。

在这种情况下，副手武器就变成了一把特殊的“盾”。常规的盾有格挡率，抗性和血;而副手“武器盾”则会带来10% More攻击速度和15%格挡率，以及一些特殊暗金带来的加成。也就是说，如果这种特殊加成足够好，武器盾的效果甚至能超越一般盾牌。

最典型的一把武器盾就是暗金匕首Boot Blade。自带20%格挡和90%全域暴击，也就是说带上以后直接变成35%格挡，超越游戏里除了暗金橡木盾以外的所有盾牌，90%全域暴击也相当诱人。

还有一把很神的武器就是一直被当垃圾的暗金Twilight Blade。自带10%格挡和36%全域攻速，相当于给主力技能连接了一个9级的快速攻击。唯一问题就是本武器是剑，只能用锄大地或者双击来掩盖副手输出的不足。

其他的还有自带格挡和Ghost Reave的爪子，低血100%伤害的剑，50%能量盾的剑，都是很适合做副手武器盾的底子。

所以当你使用双手锄大地被屠夫操了又操之后，不妨尝试一下这钟介于剑盾和双手间的奇妙配置。双持的格挡可以被裸奔头等装备加成，天赋里还有3点14%双持格挡这种完全犯规的点数，稍微收拾一下就能达到50%~60%的格挡了。输出大大强过剑盾，同时也有了一定生存力，最重要的还是，物美价廉。