1.原始套接字使用场景

我们平常所用到的网络编程都是在应用层收发数据,每个程序只能收到发给自己的数据,即每个程序只能收到来自该程序绑定的端口的数据。收到的数据往往只包括应用层数据,原有的头部信息在传递过程中被隐藏了。某些情况下我们需要执行更底层的操作,比如监听所有本机收发的数据、修改报头等,而像SOCK_STREAM、SOCK_DGRAMZ则通常用于应用层,并不能满足该需求。

通过原始套接字,我们可以抓取所有发送到本机的IP包(包括IP头和TCP/UDP/ICMP包头),也可以抓取所有本机收到的帧(包括数据链路层协议头)。普通的套接字无法处理ICMP、IGMP等网络报文,而SOCK_RAW可以。利用原始套接字,我们可以自己构造IP头。

2.原始套接字分类及套接字函数简介

有两种原始套接字:
                  一种是处理IP层及其上的数据,通过指定socket第一个参数为AF_INET来创建这种套接字。
                  另一种是处理数据链路层及其上的数据,通过指定socket第一个参数为PF_PACKET来创建这种套接字。

socket函数简介:

    int socket(int domain, int type, int proto)

#include <sys/types.h>

#include <sys/socket.h>
参数 选项 作用
domain AF_INET 获取用网络层开始的数据(完整的IP数据包)  
PF_PACKET 获取数据链路层开始的数据(链路层头+IP 数据包)  
... ... 其他domain选项暂未使用,不予说明  
type SOCK_STREAM 面向连接的流式套接字  
SOCK_DGRAM 面向无连接的数据包套接字  
SOCK_RAW 接收底层数据报文的原始套接字  
SOCK_PACKET 过时类型,新版本不建议使用  
... ... 其他type选项暂未使用,不予说明  
proto 0 一般默认填写0  
ETH_P_IP  ETH_P_IP 0x800 只接收发往本机mac的ip类型的数据帧  
ETH_P_ARP ETH_P_ARP 0x806 只接受发往本机mac的arp类型的数据帧  
ETH_P_RARP ETH_P_RARP 0x8035 只接受发往本机mac的rarp类型的数据帧  
ETH_P_ALL ETH_P_ALL 0x3 接收发往本机mac的所有类型ip arp rarp的数据帧, 接收从本机发出的所有类型的数据帧.(混杂模式打开的情况下,会接收到非发往本地mac的数据帧)  
       

3. 套接字用法及应用场景

创建套接字及应用场景
创建方式 工作域 发送报文 接收报文
socket(AF_INET,SOCK_STREAM, 0) 网络层 接收发送都是相应端口的应用层数据 接收发往本地IP的报文
socket(AF_INET, SOCK_DGRAM, 0)
socket(AF_INET, SOCK_RAW, 0) 只能发送包含TCP报头或UDP报头或包含其他传输协议的报文,IP报头以及以太网帧头则由内核自动加封 用户获得完整的包含IP头的IP数据包
socket(PF_PACKET, SOCK_DGRAM, 0) 链路层 获得IPV4的数据链路层帧,但不包括以太网帧头( 6源mac + 6目的mac + 2) 接收发往本地MAC的报文。主要用于获取底层数据
socket(PF_PACKET, SOCK_RAW, 0) 获得IPV4的数据链路层帧,即数据包含以太网帧头(14+20+(8:udp 或 20:tcp))

4. 两种套接字对比

在上面的表格中我们知道socket(AF_INET, SOCK_RAW,...) socket(PF_PACKET, SOCK_DGRAM,0)这两种创建的套接字均可以接收到完整的IP报文,但是他们接收到的有什么区别呢? 接下来简单的说一下:

结起来就是:
               socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)发送接收ip数据包
     能:该套接字可以接收协议类型为(tcp udp icmp等)发往本机的ip数据包
    不能:收到非发往本地ip的数据包(ip软过滤会丢弃这些不是发往本机ip的数据包)
    不能:收到从本机发送出去的数据包
    发送的话需要自己组织tcp udp icmp等头部.可以setsockopt来自己包装ip头部,这种套接字用来写个ping程序比较适合。

socket(PF_PACKET, SOCK_RAW|SOCK_DGRAM, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))发送接收以太网数据帧。这种套接字比较强大,可以监听网卡上的所有数据帧

能: 接收发往本地mac的数据帧
    能: 接收从本机发送出去的数据帧(第3个参数需要设置为ETH_P_ALL)
    能: 接收非发往本地mac的数据帧(网卡需要设置为promisc混杂模式)
协议类型一共有四个
ETH_P_IP 0x800 只接收发往本机mac的ip类型的数据帧
ETH_P_ARP 0x806 只接受发往本机mac的arp类型的数据帧
ETH_P_RARP 0x8035 只接受发往本机mac的rarp类型的数据帧
ETH_P_ALL 0x3 接收发往本机mac的所有类型ip arp rarp的数据帧, 接收从本机发出的所有类型的数据帧.(混杂模式打开的情况下,会接收到非发往本地mac的数据帧)

5. 应用例子:抓取所有IP包(代码系转载)

#include <sys/types.h>

#include <sys/socket.h>

#include <sys/ioctl.h>

#include <net/if.h>

#include <string.h>

#include <stdio.h>

#include <stdlib.h>

#include <linux/if_packet.h>

#include <netinet/if_ether.h>

#include <netinet/in.h>

typedef struct _iphdr //定义IP首部

{

    unsigned char h_verlen;       //4位首部长度+4位IP版本号

    unsigned char tos;            //8位服务类型TOS

    unsigned short total_len;     //16位总长度(字节)

    unsigned short ident;         //16位标识

    unsigned short frag_and_flags;//3位标志位

    unsigned char ttl;            //8位生存时间 TTL

    unsigned char proto;          //8位协议 (TCP, UDP 或其他)

    unsigned short checksum;      //16位IP首部校验和

    unsigned int sourceIP;        //32位源IP地址

    unsigned int destIP;          //32位目的IP地址

}IP_HEADER; 

typedef struct _udphdr //定义UDP首部

{

    unsigned short uh_sport;    //16位源端口

    unsigned short uh_dport;    //16位目的端口

    unsigned short uh_len;        //16位UDP包长度

    unsigned short uh_sum;        //16位校验和

}UDP_HEADER;

typedef struct _tcphdr //定义TCP首部

{

    unsigned short th_sport;     //16位源端口

    unsigned short th_dport;     //16位目的端口

    unsigned int th_seq;         //32位序列号

    unsigned int th_ack;         //32位确认号

    unsigned char th_lenres;     //4位首部长度/6位保留字

    unsigned char th_flag;       //6位标志位

    unsigned short th_win;       //16位窗口大小

    unsigned short th_sum;       //16位校验和

    unsigned short th_urp;       //16位紧急数据偏移量

}TCP_HEADER; 

typedef struct _icmphdr {

    unsigned char  icmp_type;

    unsigned char icmp_code;      /* type sub code */

    unsigned short icmp_cksum;

    unsigned short icmp_id;

    unsigned short icmp_seq;

    /* This is not the std header, but we reserve space for time */

    unsigned short icmp_timestamp;

}ICMP_HEADER;

void analyseIP(IP_HEADER *ip);

void analyseTCP(TCP_HEADER *tcp);

void analyseUDP(UDP_HEADER *udp);

void analyseICMP(ICMP_HEADER *icmp);

int main(void)

{

    int sockfd;

     IP_HEADER *ip;

    char buf[10240];

    ssize_t n;

    /* capture ip datagram without ethernet header */

    if ((sockfd = socket(PF_PACKET,  SOCK_DGRAM, htons(ETH_P_IP)))== -1)

    {

        printf("socket error!\n");

        return 1;

    }

    while (1)

    {

        n = recv(sockfd, buf, sizeof(buf), 0);

        if (n == -1)

        {

            printf("recv error!\n");

            break;

        }

        else if (n==0)

            continue;

        //接收数据不包括数据链路帧头

        ip = ( IP_HEADER *)(buf);

        analyseIP(ip);

        size_t iplen =  (ip->h_verlen&0x0f)*4;

        TCP_HEADER *tcp = (TCP_HEADER *)(buf +iplen);

        if (ip->proto == IPPROTO_TCP)

        {

            TCP_HEADER *tcp = (TCP_HEADER *)(buf +iplen);

            analyseTCP(tcp);

        }

        else if (ip->proto == IPPROTO_UDP)

        {

            UDP_HEADER *udp = (UDP_HEADER *)(buf + iplen);

            analyseUDP(udp);

        }

        else if (ip->proto == IPPROTO_ICMP)

        {

            ICMP_HEADER *icmp = (ICMP_HEADER *)(buf + iplen);

            analyseICMP(icmp);

        }

        else if (ip->proto == IPPROTO_IGMP)

        {

            printf("IGMP----\n");

        }

        else

        {

            printf("other protocol!\n");

        }

        printf("\n\n");

    }

    close(sockfd);

    return 0;

}

void analyseIP(IP_HEADER *ip)

{

    unsigned char* p = (unsigned char*)&ip->sourceIP;

    printf("Source IP\t: %u.%u.%u.%u\n",p[0],p[1],p[2],p[3]);

    p = (unsigned char*)&ip->destIP;

    printf("Destination IP\t: %u.%u.%u.%u\n",p[0],p[1],p[2],p[3]);

}

void analyseTCP(TCP_HEADER *tcp)

{

    printf("TCP -----\n");

    printf("Source port: %u\n", ntohs(tcp->th_sport));

    printf("Dest port: %u\n", ntohs(tcp->th_dport));

}

void analyseUDP(UDP_HEADER *udp)

{

    printf("UDP -----\n");

    printf("Source port: %u\n", ntohs(udp->uh_sport));

    printf("Dest port: %u\n", ntohs(udp->uh_dport));

}

void analyseICMP(ICMP_HEADER *icmp)

{

    printf("ICMP -----\n");

    printf("type: %u\n", icmp->icmp_type);

    printf("sub code: %u\n", icmp->icmp_code);

}

Linux原始套接字抓取底层报文的更多相关文章

  1. Linux原始套接字实现分析---转

    http://blog.chinaunix.net/uid-27074062-id-3388166.html 本文从IPV4协议栈原始套接字的分类入手,详细介绍了链路层和网络层原始套接字的特点及其内核 ...

  2. linux原始套接字(2)-icmp请求与接收

    一.概述                                                    上一篇arp请求使用的是链路层的原始套接字.icmp封装在ip数据报里面,所以icmp请 ...

  3. 关于linux 原始套接字编程

    关于linux 网络编程最权威的书是<<unix网络编程>>,但是看这本书时有些内容你可能理解的不是很深刻,或者说只知其然而不知其所以然,那么如果你想搞懂的话那么我建议你可以看 ...

  4. linux原始套接字(4)-构造IP_UDP

    一.概述                                                    同上一篇tcp一样,udp也是封装在ip报文里面.创建UDP的原始套接字如下: (soc ...

  5. linux原始套接字(3)-构造IP_TCP发送与接收

    一.概述                                                    tcp报文封装在ip报文中,创建tcp的原始套接字如下: sockfd = socket ...

  6. linux原始套接字(1)-arp请求与接收

    一.概述                                                   以太网的arp数据包结构: arp结构op操作参数:1为请求,2为应答. 常用的数据结构如 ...

  7. Linux网络编程——原始套接字编程

    原始套接字编程和之前的 UDP 编程差不多,无非就是创建一个套接字后,通过这个套接字接收数据或者发送数据.区别在于,原始套接字可以自行组装数据包(伪装本地 IP,本地 MAC),可以接收本机网卡上所有 ...

  8. Linux网络编程:原始套接字简介

    Linux网络编程:原始套接字编程 一.原始套接字用途 通常情况下程序员接所接触到的套接字(Socket)为两类: 流式套接字(SOCK_STREAM):一种面向连接的Socket,针对于面向连接的T ...

  9. Linux基础(11)原始套接字

    一边接收函数返回一边判断返回值时一定要把接收的优先级加()提高再去判断 例 if((sockfd = socket()) < 0) 问题: 如何实现SYN扫描器扫描端口 , 比如AB两个设备要进 ...

随机推荐

  1. 数据库比对工具SQL(表、字段、触发器、索引、视图、存储过程)

    做一个数据库比对小工具,把SQL做一个笔记 SELECT object_id AS ID --表ID,'表' sType,Name --表名FROM sys.tablesORDER BY Name-- ...

  2. UE4点选源码分析

    在UE插件开发中,时常会用到场景预览窗口的功能,也经常会有点选场景里的物体而同步改变工具界面的需求,网上教程多为讲解如何打开一个预览界面.在最近的一次需求开发中,我粗读了关卡编辑器和蓝图编辑器的Vie ...

  3. Python 列表解析式竟然支持异步?

    PEP原文:https://www.python.org/dev/peps/pep-0530 PEP标题:PEP 530 -- Asynchronous Comprehensions PEP作者:Yu ...

  4. 90%的开发者都不知道的UI本质原理和优化方式

    前言 很多开发者在工作中一直和UI打交道,所以认为UI非常的简单! 事实上对于90%的开发者来说,不知道UI的本质原理. 虽然在开发中,我们在接到产品的UI需求之后,可以走捷径照抄大型APP代码,但是 ...

  5. 还有更惨的吗?字节面经,美团,网易,招银,360全部在HR前一面挂了

    最近一朋友向我吐槽去年的秋招,字节面经,美团,网易,招银,360全部在HR前一面挂了,实在是有点惨.我把他语无伦次的话做了一个整理: 最近真的很暴躁,控制不住自己陷入情绪低落胡思乱想,每天都是在希望失 ...

  6. netty系列之:文本聊天室

    目录 简介 聊天室的工作流程 文本处理器 初始化ChannelHandler 真正的消息处理逻辑 总结 简介 经过之前的系列文章,我们已经知道了netty的运行原理,还介绍了基本的netty服务搭建流 ...

  7. CentOS后台服务管理类

    目录 一.service 后台服务管理(临时,只对当前有效) 二.chkconfig 设置后台服务的自启配置(永久) 三.CentOS7 后添加的命令:systemctl 一.service 后台服务 ...

  8. vue 快速入门 系列 —— vue-cli 下

    其他章节请看: vue 快速入门 系列 Vue CLI 4.x 下 在 vue loader 一文中我们已经学会从零搭建一个简单的,用于单文件组件开发的脚手架:本篇,我们将全面学习 vue-cli 这 ...

  9. JavaWeb项目实战-油画商城

    整个项目都已经上传到github-mmgallery上,供有需要的读者使用,主要文件来自于csdn,区别是csdn中的项目数据存储在MySQL中,本项目数据存储在Xml文件中.课件和学习视频课程来自M ...

  10. docker-02

    环境准备 10.0.0.100这台宿主机先做好给docker容器本地yum源,其实也可以用阿里等其他的yum源 1 上传6.9和7.6的镜像到10.0.0.100这台服务器 [root@docker ...