Linux raw socket

我們平常所用到的網路編程都是在應用程式層收發資料，每個程式只能收到發給自己的資料，即每個程式只能收到來自該程式綁定的連接埠的資料。收到的資料往往只包括應用程式層資料。某些情況下我們需要執行更底層的操作，比如監聽所有本機收發的資料、修改前序等。

通過原始通訊端，我們可以抓取所有發送到原生IP包（包括IP頭和TCP/UDP/ICMP包頭），也可以抓取所有本機收到的幀（包括資料連結層協議頭）。普通的通訊端無法處理ICMP、IGMP等網路報文，而SOCK_RAW可以。利用原始通訊端，我們可以自己構造IP頭。

有兩種原始通訊端
一種是處理IP層即其上的資料，通過指定socket第一個參數為AF_INET來建立這種通訊端。
另一種是處理資料連結層即其上的資料，通過指定socket第一個參數為AF_PACKET來建立這種通訊端。

AF_INET表示擷取從網路層開始的資料
socket(AF_INET, SOCK_RAW, …)
當接收包時，表示使用者獲得完整的包含IP前序的資料包，即資料從IP前序開始算起。
當發送包時，使用者只能發送包含TCP前序或UDP前序或包含其他傳輸協議的報文，IP前序以及乙太網路幀頭則由核心自動加封。除非是設定了IP_HDRINCL的socket選項。
如果第二個參數為SOCK_STREAM, SOCK_DGRAM，表示接收的資料直接為應用程式層資料。

PF_PACKET，表示擷取的資料是從資料連結層開始的資料
socket（PF_PACKET，SOCK_RAW，htos（ETH_P_IP））：表示獲得IPV4的資料連結層幀，即資料包含乙太網路幀頭。14+20+(8:udp 或 20:tcp)
ETH_P_IP: 在<linux/if_ether.h>中定義，可以查看該檔案瞭解支援的其它協議。
SOCK_RAW, SOCK_DGRAM兩個參數都可以使用，區別在於使用SOCK_DGRAM收到的資料不包括資料連結層協議頭。

總結起來就是：
socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)發送接收ip資料包
能：該通訊端可以接收協議類型為(tcp udp icmp等)發往原生ip資料包
不能：收到非發往本地ip的資料包(ip軟過濾會丟棄這些不是發往本機ip的資料包)
不能：收到從本機發送出去的資料包
發送的話需要自己組織tcp udp icmp等頭部.可以setsockopt來自己封裝ip頭部
這種通訊端用來寫個ping程式比較適合

socket(PF_PACKET, SOCK_RAW|SOCK_DGRAM, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))發送接收乙太網路資料幀
這種通訊端比較強大，可以監聽網卡上的所有資料幀

能: 接收發往本地mac的資料幀
能: 接收從本機發送出去的資料幀(第3個參數需要設定為ETH_P_ALL)
能: 接收非發往本地mac的資料幀(網卡需要設定為promisc混雜模式)
協議類型一共有四個
ETH_P_IP 0x800 只接收發往本機mac的ip類型的資料幀
ETH_P_ARP 0x806 只接受發往本機mac的arp類型的資料幀
ETH_P_RARP 0x8035 只接受發往本機mac的rarp類型的資料幀
ETH_P_ALL 0x3 接收發往本機mac的所有類型ip arp rarp的資料幀, 接收從本機發出的所有類型的資料幀.(混雜模式開啟的情況下,會接收到非發往本地mac的資料幀)

應用例子：抓取所有IP包

#include <sys/types.h>#include <sys/socket.h>#include <sys/ioctl.h>#include <net/if.h>#include <string.h>#include <stdio.h>#include <stdlib.h>#include <linux/if_packet.h>#include <netinet/if_ether.h>#include <netinet/in.h>typedef struct _iphdr //定義IP首部 {     unsigned char h_verlen; //4位首部長度+4位IP版本號碼     unsigned char tos; //8位服務類型TOS     unsigned short total_len; //16位總長度（位元組）     unsigned short ident; //16位標識     unsigned short frag_and_flags; //3位標誌位     unsigned char ttl; //8位存留時間 TTL     unsigned char proto; //8位協議 (TCP, UDP 或其他)     unsigned short checksum; //16位IP首部校正和     unsigned int sourceIP; //32位源IP地址     unsigned int destIP; //32位目的IP地址 }IP_HEADER; typedef struct _udphdr //定義UDP首部{    unsigned short uh_sport;    //16位源連接埠    unsigned short uh_dport;    //16位目的連接埠    unsigned int uh_len;//16位UDP包長度    unsigned int uh_sum;//16位校正和}UDP_HEADER;typedef struct _tcphdr //定義TCP首部 {     unsigned short th_sport; //16位源連接埠     unsigned short th_dport; //16位目的連接埠     unsigned int th_seq; //32位序號     unsigned int th_ack; //32位確認號     unsigned char th_lenres;//4位首部長度/6位保留字     unsigned char th_flag; //6位標誌位    unsigned short th_win; //16位視窗大小    unsigned short th_sum; //16位校正和    unsigned short th_urp; //16位緊急資料位移量}TCP_HEADER; typedef struct _icmphdr {      unsigned char  icmp_type;      unsigned char icmp_code; /* type sub code */      unsigned short icmp_cksum;      unsigned short icmp_id;      unsigned short icmp_seq;      /* This is not the std header, but we reserve space for time */      unsigned short icmp_timestamp;  }ICMP_HEADER;void analyseIP(IP_HEADER *ip);void analyseTCP(TCP_HEADER *tcp);void analyseUDP(UDP_HEADER *udp);void analyseICMP(ICMP_HEADER *icmp);int main(void){    int sockfd;     IP_HEADER *ip;    char buf[10240];    ssize_t n;    /* capture ip datagram without ethernet header */    if ((sockfd = socket(PF_PACKET,  SOCK_DGRAM, htons(ETH_P_IP)))== -1)    {            printf("socket error!\n");        return 1;    }    while (1)    {        n = recv(sockfd, buf, sizeof(buf), 0);        if (n == -1)        {            printf("recv error!\n");            break;        }        else if (n==0)            continue;        //接收資料不包括資料鏈路幀頭        ip = ( IP_HEADER *)(buf);        analyseIP(ip);        size_t iplen =  (ip->h_verlen&0x0f)*4;        TCP_HEADER *tcp = (TCP_HEADER *)(buf +iplen);        if (ip->proto == IPPROTO_TCP)        {            TCP_HEADER *tcp = (TCP_HEADER *)(buf +iplen);            analyseTCP(tcp);        }        else if (ip->proto == IPPROTO_UDP)        {            UDP_HEADER *udp = (UDP_HEADER *)(buf + iplen);            analyseUDP(udp);        }        else if (ip->proto == IPPROTO_ICMP)        {            ICMP_HEADER *icmp = (ICMP_HEADER *)(buf + iplen);            analyseICMP(icmp);        }        else if (ip->proto == IPPROTO_IGMP)        {            printf("IGMP----\n");        }        else        {            printf("other protocol!\n");        }                printf("\n\n");    }    close(sockfd);    return 0;}void analyseIP(IP_HEADER *ip){    unsigned char* p = (unsigned char*)&ip->sourceIP;    printf("Source IP\t: %u.%u.%u.%u\n",p[0],p[1],p[2],p[3]);    p = (unsigned char*)&ip->destIP;    printf("Destination IP\t: %u.%u.%u.%u\n",p[0],p[1],p[2],p[3]);}void analyseTCP(TCP_HEADER *tcp){    printf("TCP -----\n");    printf("Source port: %u\n", ntohs(tcp->th_sport));    printf("Dest port: %u\n", ntohs(tcp->th_dport));}void analyseUDP(UDP_HEADER *udp){    printf("UDP -----\n");    printf("Source port: %u\n", ntohs(udp->uh_sport));    printf("Dest port: %u\n", ntohs(udp->uh_dport));}void analyseICMP(ICMP_HEADER *icmp){    printf("ICMP -----\n");    printf("type: %u\n", icmp->icmp_type);    printf("sub code: %u\n", icmp->icmp_code);}

 參考：http://baike.baidu.com/view/4263346.htm