我們平常所用到的網絡編程都是在應用層收發數據,每個程序只能收到發給自己的數據,即每個程序只能收到來自該程序綁定的端口的數據。收到的數據往往只包括應用層數據。某些情況下我們需要執行更底層的操作,比如監聽所有本機收發的數據、修改報頭等。
通過原始套接字,我們可以抓取所有發送到本機的IP包(包括IP頭和TCP/UDP/ICMP包頭),也可以抓取所有本機收到的幀(包括數據鏈路層協議頭)。普通的套接字無法處理ICMP、IGMP等網絡報文,而SOCK_RAW可以。利用原始套接字,我們可以自己構造IP頭。
有兩種原始套接字
一種是處理IP層即其上的數據,通過指定socket第一個參數為AF_INET來創建這種套接字。
另一種是處理數據鏈路層即其上的數據,通過指定socket第一個參數為AF_PACKET來創建這種套接字。
AF_INET表示獲取從網絡層開始的數據
socket(AF_INET, SOCK_RAW, …)
當接收包時,表示用戶獲得完整的包含IP報頭的數據包,即數據從IP報頭開始算起。
當發送包時,用戶只能發送包含TCP報頭或UDP報頭或包含其他傳輸協議的報文,IP報頭以及以太網幀頭則由內核自動加封。除非是設置了IP_HDRINCL的socket選項。
如果第二個參數為SOCK_STREAM, SOCK_DGRAM,表示接收的數據直接為應用層數據。
PF_PACKET,表示獲取的數據是從數據鏈路層開始的數據
socket(PF_PACKET,SOCK_RAW,htos(ETH_P_IP)):表示獲得IPV4的數據鏈路層幀,即數據包含以太網幀頭。14+20+(8:udp 或 20:tcp)
ETH_P_IP: 在<linux/if_ether.h>中定義,可以查看該文件了解支持的其它協議。
SOCK_RAW, SOCK_DGRAM兩個參數都可以使用,區別在於使用SOCK_DGRAM收到的數據不包括數據鏈路層協議頭。
總結起來就是:
socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)發送接收ip數據包
能:該套接字可以接收協議類型為(tcp udp icmp等)發往本機的ip數據包
不能:收到非發往本地ip的數據包(ip軟過濾會丟棄這些不是發往本機ip的數據包)
不能:收到從本機發送出去的數據包
發送的話需要自己組織tcp udp icmp等頭部.可以setsockopt來自己包裝ip頭部
這種套接字用來寫個ping程序比較適合
socket(PF_PACKET, SOCK_RAW|SOCK_DGRAM, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))發送接收以太網數據幀
這種套接字比較強大,可以監聽網卡上的所有數據幀
能: 接收發往本地mac的數據幀
能: 接收從本機發送出去的數據幀(第3個參數需要設置為ETH_P_ALL)
能: 接收非發往本地mac的數據幀(網卡需要設置為promisc混雜模式)
協議類型一共有四個
ETH_P_IP 0x800 只接收發往本機mac的ip類型的數據幀
ETH_P_ARP 0x806 只接受發往本機mac的arp類型的數據幀
ETH_P_RARP 0x8035 只接受發往本機mac的rarp類型的數據幀
ETH_P_ALL 0x3 接收發往本機mac的所有類型ip arp rarp的數據幀, 接收從本機發出的所有類型的數據幀.(混雜模式打開的情況下,會接收到非發往本地mac的數據幀)
應用例子:抓取所有IP包
#include <sys/types.h> #include <sys/socket.h> #include <sys/ioctl.h> #include <net/if.h> #include <string.h> #include <stdio.h> #include <stdlib.h> #include <linux/if_packet.h> #include <netinet/if_ether.h> #include <netinet/in.h> typedef struct _iphdr //定義IP首部 { unsigned char h_verlen; //4位首部長度+4位IP版本號 unsigned char tos; //8位服務類型TOS unsigned short total_len; //16位總長度(字節) unsigned short ident; //16位標識 unsigned short frag_and_flags; //3位標志位 unsigned char ttl; //8位生存時間 TTL unsigned char proto; //8位協議 (TCP, UDP 或其他) unsigned short checksum; //16位IP首部校驗和 unsigned int sourceIP; //32位源IP地址 unsigned int destIP; //32位目的IP地址 }IP_HEADER; typedef struct _udphdr //定義UDP首部 { unsigned short uh_sport; //16位源端口 unsigned short uh_dport; //16位目的端口 unsigned int uh_len;//16位UDP包長度 unsigned int uh_sum;//16位校驗和 }UDP_HEADER; typedef struct _tcphdr //定義TCP首部 { unsigned short th_sport; //16位源端口 unsigned short th_dport; //16位目的端口 unsigned int th_seq; //32位序列號 unsigned int th_ack; //32位確認號 unsigned char th_lenres;//4位首部長度/6位保留字 unsigned char th_flag; //6位標志位 unsigned short th_win; //16位窗口大小 unsigned short th_sum; //16位校驗和 unsigned short th_urp; //16位緊急數據偏移量 }TCP_HEADER; typedef struct _icmphdr { unsigned char icmp_type; unsigned char icmp_code; /* type sub code */ unsigned short icmp_cksum; unsigned short icmp_id; unsigned short icmp_seq; /* This is not the std header, but we reserve space for time */ unsigned short icmp_timestamp; }ICMP_HEADER; void analyseIP(IP_HEADER *ip); void analyseTCP(TCP_HEADER *tcp); void analyseUDP(UDP_HEADER *udp); void analyseICMP(ICMP_HEADER *icmp); int main(void) { int sockfd; IP_HEADER *ip; char buf[10240]; ssize_t n; /* capture ip datagram without ethernet header */ if ((sockfd = socket(PF_PACKET, SOCK_DGRAM, htons(ETH_P_IP)))== -1) { printf("socket error!\n"); return 1; } while (1) { n = recv(sockfd, buf, sizeof(buf), 0); if (n == -1) { printf("recv error!\n"); break; } else if (n==0) continue; //接收數據不包括數據鏈路幀頭 ip = ( IP_HEADER *)(buf); analyseIP(ip); size_t iplen = (ip->h_verlen&0x0f)*4; TCP_HEADER *tcp = (TCP_HEADER *)(buf +iplen); if (ip->proto == IPPROTO_TCP) { TCP_HEADER *tcp = (TCP_HEADER *)(buf +iplen); analyseTCP(tcp); } else if (ip->proto == IPPROTO_UDP) { UDP_HEADER *udp = (UDP_HEADER *)(buf + iplen); analyseUDP(udp); } else if (ip->proto == IPPROTO_ICMP) { ICMP_HEADER *icmp = (ICMP_HEADER *)(buf + iplen); analyseICMP(icmp); } else if (ip->proto == IPPROTO_IGMP) { printf("IGMP----\n"); } else { printf("other protocol!\n"); } printf("\n\n"); } close(sockfd); return 0; } void analyseIP(IP_HEADER *ip) { unsigned char* p = (unsigned char*)&ip->sourceIP; printf("Source IP\t: %u.%u.%u.%u\n",p[0],p[1],p[2],p[3]); p = (unsigned char*)&ip->destIP; printf("Destination IP\t: %u.%u.%u.%u\n",p[0],p[1],p[2],p[3]); } void analyseTCP(TCP_HEADER *tcp) { printf("TCP -----\n"); printf("Source port: %u\n", ntohs(tcp->th_sport)); printf("Dest port: %u\n", ntohs(tcp->th_dport)); } void analyseUDP(UDP_HEADER *udp) { printf("UDP -----\n"); printf("Source port: %u\n", ntohs(udp->uh_sport)); printf("Dest port: %u\n", ntohs(udp->uh_dport)); } void analyseICMP(ICMP_HEADER *icmp) { printf("ICMP -----\n"); printf("type: %u\n", icmp->icmp_type); printf("sub code: %u\n", icmp->icmp_code); }
參考:http://baike.baidu.com/view/4263346.htm