linux sock_raw原始套接字編程

sock_raw原始套接字編程可以接收到本機網卡上的數據幀或者數據包,對與監聽網絡的流量和分析是很有作用的.一共可以有3種方式創建這種socket
?
1.socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)發送接收ip數據包
2.socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))發送接收以太網數據幀
3.socket(AF_INET, SOCK_PACKET, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))過時了,不要用啊
?
理解一下SOCK_RAW的原理, 比如網卡收到了一個 14+20+8+100+4 的udp的以太網數據幀.
?
首先,網卡對該數據幀進行硬過濾(根據網卡的模式不同會有不同的動作,如果設置了promisc混雜模式的話,則不做任何過濾直接交給下一層輸入例程,否則非本機mac或者廣播mac會被直接丟棄).按照上面的例子,如果成功的話,會進入ip輸入例程.但是在進入ip輸入例程之前,系統會檢查系統中是否有通過socket(AF_PACKET, SOCK_RAW, ..)創建的套接字.如果有的話并且協議相符,在這個例子中就是需要ETH_P_IP或者ETH_P_ALL類型.系統就給每個這樣的socket接收緩沖區發送一個數據幀拷貝.然后進入下一步.
?
其次,進入了ip輸入例程(ip層會對該數據包進行軟過濾,就是檢查校驗或者丟棄非本機ip 或者廣播ip的數據包等,具體要參考源代碼),例子中就是如果成功的話會進入udp輸入例程.但是在交給udp輸入例程之前,系統會檢查系統中是否有通過socket(AF_INET, SOCK_RAW, ..)創建的套接字.如果有的話并且協議相符,在這個例子中就是需要IPPROTO_UDP類型.系統就給每個這樣的socket接收緩沖區發送一個數據幀拷貝.然后進入下一步.
?
最后,進入udp輸入例程 ...
?
ps:如果校驗和出錯的話,內核會直接丟棄該數據包的.而不會拷貝給sock_raw的套接字,因為校驗和都出錯了,數據肯定有問題的包括所有信息都沒有意義了.
?
進一步分析他們的能力.
1. socket(AF_INET, SOCK_RAW, IPPROTO_UDP);
能:該套接字可以接收協議類型為(tcp udp icmp等)發往本機的ip數據包,從上面看的就是20+8+100.
不能:不能收到非發往本地ip的數據包(ip軟過濾會丟棄這些不是發往本機ip的數據包).
不能:不能收到從本機發送出去的數據包.
發送的話需要自己組織tcp udp icmp等頭部.可以setsockopt來自己包裝ip頭部
這種套接字用來寫個ping程序比較適合
????
2. socket(PF_PACKET, SOCK_RAW, htons(x));?
這個套接字比較強大,創建這種套接字可以監聽網卡上的所有數據幀.從上面看就是20+20+8+100.最后一個以太網crc從來都不算進來的,因為內核已經判斷過了,對程序來說沒有任何意義了.
能: 接收發往本地mac的數據幀
能: 接收從本機發送出去的數據幀(第3個參數需要設置為ETH_P_ALL)
能: 接收非發往本地mac的數據幀(網卡需要設置為promisc混雜模式)
協議類型一共有四個
ETH_P_IP? 0x800????? 只接收發往本機mac的ip類型的數據幀
ETH_P_ARP 0x806????? 只接受發往本機mac的arp類型的數據幀
ETH_P_ARP 0x8035???? 只接受發往本機mac的rarp類型的數據幀
ETH_P_ALL 0x3??????? 接收發往本機mac的所有類型ip arp rarp的數據幀, 接收從本機發出的所有類型的數據幀.(混雜模式打開的情況下,會接收到非發往本地mac的數據幀)
?
發送的時候需要自己組織整個以太網數據幀.所有相關的地址使用struct sockaddr_ll 而不是struct sockaddr_in(因為協議簇是PF_PACKET不是AF_INET了),比如發送給某個機器,對方的地址需要使用struct sockaddr_ll.
?
這種socket大小通吃,強悍

linux socket調用與arp報文發送

Linux提供最常用的網絡通信應用程序開發接口--Berkerley套接字(Socket)．它既適用于同一主機上進程間通信(IPC)，又適用于不同主機上的進程間通信。套接字的設置通過socket調用完成：

int socket(int family,int type,int protocol);

其中family指通信域或協議族，Linux系統支持的網絡協議族有PF_UNIX，PF_IPX，PF_PACKET等幾十種；type為套接字類型,目前有SOCK_STREAM、SOCK_DGRAM、SOCK_RAW、SOCK_PACKET等；protocol是套接字所用的特定協議類型號．

Linux系統提供的基于數據鏈路層開發應用程序的接口集成在套接字中，它是通過創建packet類型的套接宇．使應用程序可直接在數據鏈路層接收或發送未被系統處理的原始的數據報文(如ARP報文)，用戶也可以使用packet類型的套接宇在物理層上定義自己特殊的網絡協議。只有注冊號為0的用戶(超級用戶)進程才能建立或打開用于訪問網絡低層的套接字．在Linux系統中，用以下三種方式創建的packet套接字可直接用于訪問數據鏈路層：
(1)PF_INET協議族中SOCK_PACKEI類型的套接字
(2)PF_PACKET協議族中SOCK_RAW類型的套接字
(3)PF_PACKET協議族中SOCK_DGRAM類型的套接字

Linux 2．0中對數據鏈路層的操作主要使用SOCK_PACKET定義的packet套接字．初始化定義如下：
sockfd=socket(AF_INET,SOCK_PACKET,protocol)；
其中，protocol用于決定套接字所使用的物理層協議(在IEEE802.3中定義)．筆者在此選擇常用的物理層協議ETH_P_IP(Internet協議)．SOCK_PACKET使用一種比較老的sockaddr_pkt數據結構來設置網絡接口。

在Linux 2 2中使用PF_PACKET代替SOCK_PACKET來定義packet套接字．這種套接字的初始化定義如下：
sockfd=socket(PF_PACKET,socket_type,protocol)；
其中socket_type只能為SOCK_RAW或SOCK_DGRAM,protocol為物理層通信協議(同上)。SOCK_RAW和SOCK_DGRAM類型套接字使用一種與設備無關的標準物理層地址結構sockaddr_ll，但具體操作的報文格式不同。SOCK_RAW套接字直接向網絡硬件驅動程序發送(或從網絡硬件驅動程序接收)沒有任何處理的完整數據報文(包括物理幀的幀頭)，這就要求程序員必須了解對應設備的物理幀幀頭結構，才能正確地裝載和分析報文。SOCK_DGRAM套接字收到的數據報文的物理幀幀頭會被系統自動去掉，同樣,在發送時．系統將會根據sockaddr_ll結構中的目的地址信息為數據報文舔加一個臺適的物理幀幀頭。

默認情況下．從任何接口收到的符合指定協議的所有數據報文都會被傳送到packet套接字。使用bind系統調用以一個sochddr_l1地址結構將paccket套接字與某個網絡接口相綁定，可使套接字只接收指定接口的
數據報文．socaddr_ll地址結構定義如下：
struct sockaddr_ll
{
unsigned short sll_family; /* 總是 AF_PACKET */
unsigned short sll_protocol; /* 物理層的協議 */
int sll_ifindex; /* 接口號 */
unsigned short sll_hatype; /* 報頭類型 */
unsigned char sll_pkttype; /* 分組類型 */
unsigned char sll_halen; /* 地址長度 */
unsigned char sll_addr[8]; /* 物理層地址 */
};

一、利用PF_lNET協議族中SOCK_PACKET類型的套接宇實現ARP
(1)建套接字
創建套接宇采用socket系統調用，格式如下：
sockfd=socket(PF_INET,SOCK_PACKET,htons(ETH_P_ARP));
(2)裝載報文
對于SOCK_PACKET類型的套接字，以太網物理幀頭應作為所發送報文一部分由程序員設置，物理幀頭的格式定義如下:(in /usr/include/linux/if_ether.h)
92 struct ethhdr
93 {
94 unsigned char h_dest[ETH_ALEN]; /* destination eth addr */
95 unsigned char h_source[ETH_ALEN]; /* source ether addr */
96 unsigned short h_proto; /* packet type ID field */
97 };
實際發送的地址解析報文幀由以太網物理幀頭與幀數據(ARP報文)共同組成，用結構體ARPPACKET表
示如下：
typedef struct {
struct ethhdr eth_header; //struct defined in linux/if_ether.h
ARPHDR arp_header;
}ARPPACKET;
上述報文結構的裝載比較簡單。對ARP部分，arp_header的設置如下：
ptk.arp_header.ar_hrd=htons(ARPHRD_ETHER); //ARPHRD_ETHER is defined in linux/if_arp.h
ptk.arp_header.ar_pro=htons(ETHERTYPE_IP);
ptk.arp_header.ar_hln=6;
ptk.arp_header.ar_pln=4;
ptk.arp_header.ar_op=htons(ARPOP_REQUEST);

pkt.arp_header.ar_sha[]、pkt.arp_header.ar_sip[]、pkt_arp_header.ar_tip[]分別填入本機的物理地址、ip地址和要解析的對方主機的ip地址．返回報文中pkt.arp_header.tha[]中的內容就是解析
得到的對方主機的物理地址。

對于以太網幀頭部分，pkt.eth_header.h_dest[]為目的地址，即廣播物理地址0xFFFFFF， pkt.eth_header.source[]為本機物理地址(同pkt.arp_header.ar_sha[])，
pkt.eth_header.h_proto賦值htons(ETHERTYPE_ARP)表示為地址解析類型報文。
ETHERTYPE_ARP與ETH_P_ARP的值都是0x0806，只是定義的文件不同。前者定義在net/ethernet.h,后者定義在linux/if_ether.h

(3)報文的發送與接收
在數據鏈路層發送/接收報文與在IP層發送/接收數據報文類似，分別用系統調用sendto()和recvfrom()
完成，只是要將配置好的含有目標地址的報文發往本地網絡硬件而不是目標主機。相應的程序段如下：
struct sockaddr to,from;
int fromlen=0;
strcpy(to.sa_data,"eth0");
sendto(sockfd,pkt,sizeof(struct ARPPACKET),0,&to,sizeof(struct sockaddr));
recvfrom(sockfd,buf,PACKET_SIZE,0,&from,&fromlen);
其中buf為包含結構體ARPPACKET的字符型指針。

通過檢驗所接收到的ARP應答報文中arp_header.ar_op項是否為ARPOP_REPLY(ARP應答)同時arp_header.ar_tip是否為已知的對方主機的IP地址來判斷所得到的解析地址是否正確．

二、利用PF_PACKET協議族中SOCK_RAW類型的套接字實現ARP
(1)創建套接字
sockfd=socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ARP));
(2)裝載報文
與SOCK_PACKET類型的套接字相同，SOCK_RAW類型的套接字對鏈路層操作時，也要求以太網物理幀頭應作為所發送報文一部分由程序員設置.
(3)報文的發送與接收
SOCK_RAW類型套接字使用標準的物理層地址結構sockaddr_ll,所以，報文發送之前，應將套接字綁定到(使用bind()系統調用)配置好的本地物理地址結構my_etheraddr，同時還需配置目的物理地址結構broad_etheraddr.
示例如下：
struct aockaddr_ll my_etheraddr,broad_etheraddr;
my_etheraddr.sll_family=AF_PACKET;
my_etheraddr.sll_protocol=htons(ETH_P_ARP);
my_etheraddr.sll_ifindex=2; /*接口號2表示是eth0*/
my_etheraddr.sll_hatype=ARPHRD_ETHER;
my_etheraddr.sll_pkttype=PACKET_HOST;
my_etheraddr.sll_halen=ETH_ALEN;
my_etheraddr.sll_addr[8]中放入本主機的物理地址。

broad_etheraddr的配置除了sll_pkttype取PACKET_BROADCAST和sll_addr取廣播物理地址(0xFFFFFF)外，其他選項與my_etheraddr配置相同。

綁定格式如下：
bind(sockfd,(struct sockaddr *)&my_etheraddr,sizeof(my_etheraddr));

發送與接收調用程序如下：
sendto(sockfd,buf,sizeof(struct ARPPACKET),0,
(struct sockaddr *)&broad_etheraddr,sizeof(broad_etheraddr));

recvform(sockfd,buf,PACKET_SIZE,&from,&fromlen);

三、利用PF_PACKET協議族中SOCK_DGRAM類型的套接字實現ARP
SOCK_DGRAM類型的套接字不要求程序員配置以太網幀頭，所以所發送的報文只有數據區(ARP報文)部分，其它與SOCK_RAW類型的套接字相同。