1、Linux网络编程:原始套接字编程及实例分析一、原始套接字能干什么?通常情况下程序员接所接触到的套接字(Socket)为两类:(1)流式套接字(SOCK_STREAM):一种面向连接的Socket,针对于面向连接的TCP 服务应用;(2)数据报式套接字(SOCK_DGRAM):一种无连接的Socket,对应于无连接的UDP 服务应用。从用户的角度来看,SOCK_STREAM、SOCK_DGRAM 这两类套接字似乎的确涵盖了TCP/IP 应用的全部,因为基于TCP/IP 的应用,从协议栈的层次上讲,在传输层的确只可能建立于TCP 或 UDP协议之上,而SOCK_STREAM、SOCK_DGRAM
2、 又分别对应于TCP和UDP,所以几乎所有的应用都可以用这两类套接字实现。但是,当我们面对如下问题时,SOCK_STREAM、SOCK_DGRAM 将显得这样无助:(1)怎样发送一个自定义的IP 包?(2)怎样发送一个ICMP 协议包?(3)怎样分析所有经过网络的包,而不管这样包是否是发给自己的?(4)怎样伪装本地的IP 地址?这使得我们必须面对另外一个深刻的主题原始套接字(SOCK_RAW)。原始套接字广泛应用于高级网络编程,也是一种广泛的黑客手段。著名的网络sniffer(一种基于被动侦听原理的网络分析方式)、拒绝服务攻击(DOS)、IP 欺骗等都可以通过原始套接字实现。原始套接字(SOC
3、K_RAW)可以用来自行组装数据包,可以接收本机网卡上所有的数据帧(数据包),对于监听网络流量和分析网络数据很有作用。原始套接字是基于IP 数据包的编程(SOCK_PACKET 是基于数据链路层的编程)。另外,必须在管理员权限下才能使用原始套接字。原始套接字(SOCK_RAW)与标准套接字(SOCK_STREAM、SOCK_DGRAM)的区别在于原始套接字直接置“根”于操作系统网络核心(Network Core),而 SOCK_STREAM、SOCK_DGRAM 则“悬浮”于 TCP 和 UDP 协议的外围。流式套接字只能收发 TCP 协议的数据,数据报套接字只能收发 UDP 协议的数据,原始
4、套接字可以收发内核没有处理的数据包。二、原始套接字编程原始套接字编程和之前的UDP 编程差不多,无非就是创建一个套接字后,通过这个套接字接收数据或者发送数据。区别在于,原始套接字可以自行组装数据包(伪装本地 IP,本地 MAC),可以接收本机网卡上所有的数据帧(数据包)。另外,必须在管理员权限下才能使用原始套接字。原始套接字的创建:int socket ( int family, int type, int protocol );参数:family:协议族 这里写 PF_PACKETtype: 套接字类,这里写 SOCK_RAWprotocol:协议类别,指定可以接收或发送的数据包类型,不能写
5、 “0”,取值如下,注意,传参时需要用 htons() 进行字节序转换。ETH_P_IP:IPV4数据包ETH_P_ARP:ARP数据包ETH_P_ALL:任何协议类型的数据包返回值:成功( 0 ):套接字,这里为链路层的套接字失败( 0 ):出错实例如下:/所需头文件 #include #include #include/perror intmain(intargc,charchar*argv) intsock_raw_fd=socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ALL); if(sock_raw_fd0) perror(socket); return-
6、1; return0; 获取链路层的数据包:ssize_t recvfrom( int sockfd,void *buf,size_t nbytes,int flags,struct sockaddr *from,socklen_t *addrlen );参数:sockfd: 原始套接字buf: 接收数据缓冲区nbytes: 接收数据缓冲区的大小flags: 套接字标志(常为0)from: 这里没有用,写 NULLaddrlen:这里没有用,写 NULL返回值:成功:接收到的字符数失败:-1实例如下:#include #include #include #include intmain(int
7、argc,charchar*argv) unsignedcharbuf1024=0; intsock_raw_fd=socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ALL); /获取链路层的数据包 intlen=recvfrom(sock_raw_fd,buf,sizeof(buf),0,NULL,NULL); printf(len=%dn,len); return0; 混杂模式默认的情况下,我们接收数据,目的地址是本地地址,才会接收。有时候我们想接收所有经过网卡的所有数据流,而不论其目的地址是否是它,这时候我们需要设置网卡为混杂模式。网卡的混杂模式一般在网络管理员
8、分析网络数据作为网络故障诊断手段时用到,同时这个模式也被网络黑客利用来作为网络数据窃听的入口。在 Linux 操作系统中设置网卡混杂模式时需要管理员权限。在 Windows 操作系统和 Linux 操作系统中都有使用混杂模式的抓包工具,比如著名的开源软件 Wireshark。通过命令给 Linux 网卡设置混杂模式(需要管理员权限)设置混杂模式:ifconfig eth0 promisc取消混杂模式:ifconfig eth0 -promisc通过代码给 Linux 网卡设置混杂模式代码如下:structifreqethreq;/网络接口地址 strncpy(ethreq.ifr_name,e
9、th0,IFNAMSIZ);/指定网卡名称 if(-1=ioctl(sock_raw_fd,SIOCGIFINDEX,ðreq)/获取网络接口 perror(ioctl); close(sock_raw_fd); exit(-1); ethreq.ifr_flags|=IFF_PROMISC; if(-1=ioctl(sock_raw_fd,SIOCSIFINDEX,ðreq)/网卡设置混杂模式 perror(ioctl); close(sock_raw_fd); exit(-1); 发送自定义的数据包:ssize_t sendto( int sockfd,const void *
10、buf,size_t nbytes,int flags,const struct sockaddr *to,socklen_t addrlen );参数:sockfd: 原始套接字buf: 发送数据缓冲区nbytes: 发送数据缓冲区的大小flags: 一般为 0to: 本机网络接口,指发送的数据应该从本机的哪个网卡出去,而不是以前的目的地址addrlen:to 所指向内容的长度返回值:成功:发送数据的字符数失败: -1本机网络接口的定义发送完整代码如下:structsockaddr_llsll;/原始套接字地址结构 structifreqethreq;/网络接口地址 strncpy(ethr
11、eq.ifr_name,eth0,IFNAMSIZ);/指定网卡名称 if(-1=ioctl(sock_raw_fd,SIOCGIFINDEX,req)/获取网络接口 perror(ioctl); close(sock_raw_fd); exit(-1); /*将网络接口赋值给原始套接字地址结构*/ bzero(&sll,sizeof(sll); sll.sll_ifindex=ethreq.ifr_ifindex; /发送数据 /send_msg,msg_len这里还没有定义,模拟一下 intlen=sendto(sock_raw_fd,send_msg,msg_len,0,(structs
12、ockaddr*)&sll,sizeof(sll); if(len=-1) perror(sendto); 这里头文件情况如下:#include/structifreq #include/ioctl、SIOCGIFADDR #include/socket #include/ETH_P_ALL #include/structsockaddr_ll三、原始套接字实例:MAC头部报文分析由上得知,我们可以通过原始套接字以及 recvfrom( ) 可以获取链路层的数据包,那我们接收的链路层数据包到底长什么样的呢?链路层封包格式MAC 头部(有线局域网)注意:CRC、PAD 在组包时可以忽略链路层数据
13、包的其中一种情况:unsignedcharmsg1024= /-组MAC-14- 0xb8,0x88,0xe3,0xe1,0x10,0xe6,/dst_mac:b8:88:e3:e1:10:e6 0xc8,0x9c,0xdc,0xb7,0x0f,0x19,/src_mac:c8:9c:dc:b7:0f:19 0x08,0x00,/类型:0x0800IP协议 / / ;接收的链路层数据包,并对其进行简单分析:#include #include #include #include #include #include #include intmain(intargc,charchar*argv) i
14、nti=0; unsignedcharbuf1024=; intsock_raw_fd=socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ALL); while(1) unsignedcharsrc_mac18=; unsignedchardst_mac18=; /获取链路层的数据帧 recvfrom(sock_raw_fd,buf,sizeof(buf),0,NULL,NULL); /从buf里提取目的mac、源mac sprintf(dst_mac,%02x:%02x:%02x:%02x:%02x:%02x,buf0,buf1,buf2,buf3,buf4,buf
15、5); sprintf(src_mac,%02x:%02x:%02x:%02x:%02x:%02x,buf6,buf7,buf8,buf9,buf10,buf11); /判断是否为IP数据包 if(buf12=0x08&buf13=0x00) printf(_IP数据报_n); printf(MAC:%s%sn,src_mac,dst_mac); /判断是否为ARP数据包 elseif(buf12=0x08&buf13=0x06) printf(_ARP数据报_n); printf(MAC:%s%sn,src_mac,dst_mac); /判断是否为RARP数据包 elseif(buf12=0x80&buf13=0x35) printf(_RARP数据报_n); printf(MAC:%s%sn,src_mac,dst_mac); return0; 记得以管理者权限运行程序:
浙ICP备2021020529号-1 | 浙B2-20240490 
