Linux网络编程：原始套接字编程及实例分析.docx

1、Linux网络编程：原始套接字编程及实例分析一、原始套接字能干什么？通常情况下程序员接所接触到的套接字(Socket)为两类：(1)流式套接字(SOCK_STREAM)：一种面向连接的Socket，针对于面向连接的TCP 服务应用;(2)数据报式套接字(SOCK_DGRAM)：一种无连接的Socket，对应于无连接的UDP 服务应用。从用户的角度来看，SOCK_STREAM、SOCK_DGRAM 这两类套接字似乎的确涵盖了TCP/IP 应用的全部，因为基于TCP/IP 的应用，从协议栈的层次上讲，在传输层的确只可能建立于TCP 或 UDP协议之上，而SOCK_STREAM、SOCK_DGRAM

2、 又分别对应于TCP和UDP，所以几乎所有的应用都可以用这两类套接字实现。但是，当我们面对如下问题时，SOCK_STREAM、SOCK_DGRAM 将显得这样无助：(1)怎样发送一个自定义的IP 包?(2)怎样发送一个ICMP 协议包?(3)怎样分析所有经过网络的包，而不管这样包是否是发给自己的?(4)怎样伪装本地的IP 地址?这使得我们必须面对另外一个深刻的主题原始套接字(SOCK_RAW)。原始套接字广泛应用于高级网络编程，也是一种广泛的黑客手段。著名的网络sniffer(一种基于被动侦听原理的网络分析方式)、拒绝服务攻击(DOS)、IP 欺骗等都可以通过原始套接字实现。原始套接字(SOC

3、K_RAW)可以用来自行组装数据包，可以接收本机网卡上所有的数据帧(数据包)，对于监听网络流量和分析网络数据很有作用。原始套接字是基于IP 数据包的编程(SOCK_PACKET 是基于数据链路层的编程)。另外，必须在管理员权限下才能使用原始套接字。原始套接字(SOCK_RAW)与标准套接字(SOCK_STREAM、SOCK_DGRAM)的区别在于原始套接字直接置“根”于操作系统网络核心(Network Core)，而 SOCK_STREAM、SOCK_DGRAM 则“悬浮”于 TCP 和 UDP 协议的外围。流式套接字只能收发 TCP 协议的数据，数据报套接字只能收发 UDP 协议的数据，原始

4、套接字可以收发内核没有处理的数据包。二、原始套接字编程原始套接字编程和之前的UDP 编程差不多，无非就是创建一个套接字后，通过这个套接字接收数据或者发送数据。区别在于，原始套接字可以自行组装数据包(伪装本地 IP，本地 MAC)，可以接收本机网卡上所有的数据帧(数据包)。另外，必须在管理员权限下才能使用原始套接字。原始套接字的创建：int socket ( int family, int type, int protocol );参数：family：协议族 这里写 PF_PACKETtype： 套接字类，这里写 SOCK_RAWprotocol：协议类别，指定可以接收或发送的数据包类型，不能写

5、 “0”，取值如下，注意，传参时需要用 htons() 进行字节序转换。ETH_P_IP：IPV4数据包ETH_P_ARP：ARP数据包ETH_P_ALL：任何协议类型的数据包返回值：成功( 0 )：套接字，这里为链路层的套接字失败( 0 )：出错实例如下：/所需头文件 #include #include #include/perror intmain(intargc,charchar*argv) intsock_raw_fd=socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ALL); if(sock_raw_fd0) perror(socket); return-

6、1; return0; 获取链路层的数据包：ssize_t recvfrom( int sockfd,void *buf,size_t nbytes,int flags,struct sockaddr *from,socklen_t *addrlen );参数：sockfd: 原始套接字buf： 接收数据缓冲区nbytes: 接收数据缓冲区的大小flags： 套接字标志(常为0)from： 这里没有用，写 NULLaddrlen：这里没有用，写 NULL返回值：成功：接收到的字符数失败：-1实例如下：#include #include #include #include intmain(int

7、argc,charchar*argv) unsignedcharbuf1024=0; intsock_raw_fd=socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ALL); /获取链路层的数据包 intlen=recvfrom(sock_raw_fd,buf,sizeof(buf),0,NULL,NULL); printf(len=%dn,len); return0; 混杂模式默认的情况下，我们接收数据，目的地址是本地地址，才会接收。有时候我们想接收所有经过网卡的所有数据流，而不论其目的地址是否是它，这时候我们需要设置网卡为混杂模式。网卡的混杂模式一般在网络管理员

8、分析网络数据作为网络故障诊断手段时用到，同时这个模式也被网络黑客利用来作为网络数据窃听的入口。在 Linux 操作系统中设置网卡混杂模式时需要管理员权限。在 Windows 操作系统和 Linux 操作系统中都有使用混杂模式的抓包工具，比如著名的开源软件 Wireshark。通过命令给 Linux 网卡设置混杂模式(需要管理员权限)设置混杂模式：ifconfig eth0 promisc取消混杂模式：ifconfig eth0 -promisc通过代码给 Linux 网卡设置混杂模式代码如下：structifreqethreq;/网络接口地址 strncpy(ethreq.ifr_name,e

9、th0,IFNAMSIZ);/指定网卡名称 if(-1=ioctl(sock_raw_fd,SIOCGIFINDEX,ðreq)/获取网络接口 perror(ioctl); close(sock_raw_fd); exit(-1); ethreq.ifr_flags|=IFF_PROMISC; if(-1=ioctl(sock_raw_fd,SIOCSIFINDEX,ðreq)/网卡设置混杂模式 perror(ioctl); close(sock_raw_fd); exit(-1); 发送自定义的数据包：ssize_t sendto( int sockfd,const void *

10、buf,size_t nbytes,int flags,const struct sockaddr *to,socklen_t addrlen );参数：sockfd： 原始套接字buf： 发送数据缓冲区nbytes: 发送数据缓冲区的大小flags： 一般为 0to： 本机网络接口，指发送的数据应该从本机的哪个网卡出去，而不是以前的目的地址addrlen：to 所指向内容的长度返回值：成功：发送数据的字符数失败： -1本机网络接口的定义发送完整代码如下：structsockaddr_llsll;/原始套接字地址结构 structifreqethreq;/网络接口地址 strncpy(ethr

11、eq.ifr_name,eth0,IFNAMSIZ);/指定网卡名称 if(-1=ioctl(sock_raw_fd,SIOCGIFINDEX,req)/获取网络接口 perror(ioctl); close(sock_raw_fd); exit(-1); /*将网络接口赋值给原始套接字地址结构*/ bzero(&sll,sizeof(sll); sll.sll_ifindex=ethreq.ifr_ifindex; /发送数据 /send_msg,msg_len这里还没有定义，模拟一下 intlen=sendto(sock_raw_fd,send_msg,msg_len,0,(structs

12、ockaddr*)&sll,sizeof(sll); if(len=-1) perror(sendto); 这里头文件情况如下：#include/structifreq #include/ioctl、SIOCGIFADDR #include/socket #include/ETH_P_ALL #include/structsockaddr_ll三、原始套接字实例：MAC头部报文分析由上得知，我们可以通过原始套接字以及 recvfrom( ) 可以获取链路层的数据包，那我们接收的链路层数据包到底长什么样的呢?链路层封包格式MAC 头部(有线局域网)注意：CRC、PAD 在组包时可以忽略链路层数据

13、包的其中一种情况：unsignedcharmsg1024= /-组MAC-14- 0xb8,0x88,0xe3,0xe1,0x10,0xe6,/dst_mac:b8:88:e3:e1:10:e6 0xc8,0x9c,0xdc,0xb7,0x0f,0x19,/src_mac:c8:9c:dc:b7:0f:19 0x08,0x00,/类型：0x0800IP协议 / / ;接收的链路层数据包，并对其进行简单分析：#include #include #include #include #include #include #include intmain(intargc,charchar*argv) i

14、nti=0; unsignedcharbuf1024=; intsock_raw_fd=socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ALL); while(1) unsignedcharsrc_mac18=; unsignedchardst_mac18=; /获取链路层的数据帧 recvfrom(sock_raw_fd,buf,sizeof(buf),0,NULL,NULL); /从buf里提取目的mac、源mac sprintf(dst_mac,%02x:%02x:%02x:%02x:%02x:%02x,buf0,buf1,buf2,buf3,buf4,buf

15、5); sprintf(src_mac,%02x:%02x:%02x:%02x:%02x:%02x,buf6,buf7,buf8,buf9,buf10,buf11); /判断是否为IP数据包 if(buf12=0x08&buf13=0x00) printf(_IP数据报_n); printf(MAC:%s%sn,src_mac,dst_mac); /判断是否为ARP数据包 elseif(buf12=0x08&buf13=0x06) printf(_ARP数据报_n); printf(MAC:%s%sn,src_mac,dst_mac); /判断是否为RARP数据包 elseif(buf12=0x80&buf13=0x35) printf(_RARP数据报_n); printf(MAC:%s%sn,src_mac,dst_mac); return0; 记得以管理者权限运行程序：