linux Packet socket (1)簡介

時間：2019-08-26 14:12:01

關(guān)鍵字： Linux rawsocket

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀] 本文主要來自于linux自帶的man packet手冊： http://man7.org/linux/man-pages/man7/packet.7.html 平時經(jīng)常使用的INET套接字提供的是

本文主要來自于linux自帶的man packet手冊：
http://man7.org/linux/man-pages/man7/packet.7.html

平時經(jīng)常使用的INET套接字提供的是7層的抓包能力，抓上來的data直接就是tcp或者udp的payload，無需關(guān)心L3和L4的頭部信息。

Packet套接字提供的是L2的抓包能力，也叫raw socket，意思就是不經(jīng)過操作系統(tǒng)tcp/ip協(xié)議棧處理的packet，抓上來的包需要自己處理tcp/ip的頭部信息。
目前使用packet套接字的主要有l(wèi)ibpcap，netsni?-ng，hostapd（hostapd是一個用戶層的無線AP管理程序）。

linux提供了的packet 套接字函數(shù)API如下：

       #include 
       #include 
       #include  /* the L2 protocols */

       packet_socket = socket(AF_PACKET, int socket_type, int protocol);

socket_type有SOCK_RAW 和?SOCK_DGRAM，這兩個的主要區(qū)別是2層的頭部處理。
如果指定SOCK_RAW, 那么我們得到的數(shù)據(jù)包含所有的L2 header和payload，
如果指定SOCK_DGRAM, 那么我們收到的數(shù)據(jù)會去掉L2的header，是IP header和payload。
二層的頭部信息會放到一個通用的struct?sockaddr_ll結(jié)構(gòu)體中。

protocol主要是中定義的協(xié)議類型，我們可以指定ETH_P_IP來抓取IP ?packet，ETH_P_ARP 來抓取ARP的packet，一般情況下我們可以指定ETH_P_ALL來抓取所有類 ?型的packet。
注意：傳入?yún)?shù)的時候應(yīng)該轉(zhuǎn)化成網(wǎng)絡(luò)字節(jié)序htons(ETH_P_ALL)。

sockaddr_ll結(jié)構(gòu)體用來表似乎一個設(shè)備獨立的物理層地址信息，定義如下：

struct sockaddr_ll {
               unsigned short sll_family;   /* Always AF_PACKET */
               unsigned short sll_protocol; /* Physical layer protocol */
               int            sll_ifindex;  /* Interface number */
               unsigned short sll_hatype;   /* ARP hardware type */
               unsigned char  sll_pkttype;  /* Packet type */
               unsigned char  sll_halen;    /* Length of address */
               unsigned char  sll_addr[8];  /* Physical layer address */
           };

每個域的定義如下：
sll_family: ?總是AF_PACKET
ssll_protocol:?中定義的那些協(xié)議類型，也就是我們傳給socket的第二個參 ? ?數(shù)，注意是網(wǎng)絡(luò)序。

sll_ifindex: 內(nèi)核中網(wǎng)卡的index，定義在ifreq結(jié)構(gòu)體中，可以參考下面的鏈接：
http://man7.org/linux/man-pages/man7/netdevice.7.html

if_nametoindex()函數(shù)提供了從網(wǎng)卡名到index的轉(zhuǎn)換，后面的示例代碼中會用到這個函數(shù)。如
果man找不到這個函數(shù)用法，那么需要安裝?manpages-posix-dev 。

sll_hatype: ARP硬件類型，在頭文件中定義，比如ARPHRD_ETHER表示
10Mbps 的Ethernet網(wǎng)卡類型。內(nèi)核使用ARPHDR_XXX來表示網(wǎng)卡類型。
sll_pkttype: 表示當前接收的數(shù)據(jù)包的類型，主要有下面幾種合法的值：

       PACKET_HOST 發(fā)送給當前主機的包,
       PACKET_BROADCAST 廣播數(shù)據(jù)包,
       PACKET_MULTICAST 多播數(shù)據(jù)包
       PACKET_OTHERHOST 由于網(wǎng)卡設(shè)置了混雜模式收到的發(fā)送給別的主機的包
       PACKET_OUTGOING 從本機發(fā)出的，不小心loopback到當前socket了
       這些類型只有接收的時候才有意義。

sll_halen: 表示當前mac地址的長度
sll_addr: 存儲當前的mac地址

發(fā)送數(shù)據(jù)包的時候只要設(shè)置下面幾個域就足夠了：

sll_family, sll_addr, sll_halen, sll_ifindex. 其余的都應(yīng)該設(shè)置為0

sll_hatype 和?sll_pkttype在接收數(shù)據(jù)包的時候會被設(shè)置為當前數(shù)據(jù)包的信息。
對于bind()函數(shù)來說，只有sll_protocol 和 sll_ifindex會被用到。

本文后續(xù)系列packet socket 選項以及mmap相關(guān)都在個人的獨立blog上：

www.hiyoufu.com

歡迎訪問！