本文共 2074 字，大约阅读时间需要 6 分钟。

RAW SOCKET能够对较低层次的协议直接访问，网络监听技术很大程度上依赖于它。该文介绍了利用RAW SOCKET捕获网络底层数据包的步骤和方法

【原理】网卡对数据帧进行硬过滤（根据网卡的模式不同采取不同的操作，如果设置了混杂模式，则不做任何过滤直接交给下一层，否则非本机mac或者广播mac的会被直接丢弃）。在进入ip层之前，系统会检查系统中是否有通过socket(AP_PACKET,SOCK_RAW,…)创建的套接字，如果有并且协议相符，系统就给每个这样的socket接收缓冲区发送一个数据帧的拷贝。如果数据的校验和出错的话，内核直接丢弃该数据包，而不会拷贝给sock_raw的套接字。

创建套接字

发送接收ip数据包

socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)

发送接收以太网数据帧

socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))

使用SOCK_RAW发送接受的数据包含链路层的协议头。

设置网卡混杂模式

struct ifreq ifr;strcpy(ifr.ifr_name, "eth0");ifr.ifr_flags |= IFF_PROMISC;ioctl(sock, SIOCGIFFLAGS, ifr);

SIOCGIFFLAGS, SIOCSIFFLAGS 读取 或 设置 设备的 活动标志字

抓包

recvfrom(sock, buffer, BUF_SIZE, 0, NULL, NULL)

最后两个参数置为NULL，表示不绑定地址，来了的数据包都接收

示例代码

#include
   
    #include
    
     #include
     
      #include
      
       #include
       
        #include
        
         #include
         
          #include
          
           #include
           
            #include
            
             int main(int argc, char *argv[]){ int socketfd; ssize_t recvlen; unsigned char buffer[1024]; socketfd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL)); if (socketfd < 0) { print("sock create fail!\n"); return socketfd; } int id = 1; while (1) { recvlen = recvfrom(socketfd, buffer, sizeof(buffer), 0, NULL, NULL); if (recvlen < 42) { continue; } int i = 0; print("id: %d\n",id); for (i; i < sizeof(buffer); i++) { print(" %02x",buffer[i]); if ((i + 1) % 16 == 0) { print("\n"); } } id ++; print("\n\n"); }}
            
           
          
         
        
       
      
     
    
   

运行结果截图：

然后就可以根据ethernet，ip，tcp等各协议头部字段对报文进行解析，

以太网头部就解析完成，接下来的报文就是ip头部了，以此类推。

具体解析过程详情附代码可参照另一篇使用libpcap抓包文章。