SOCK_RAW 监听不到数据包 ?有代码

HJLin

1. 
   
2. #include "stdio.h"
   
3. #include "stdlib.h"
   
4. #include "string.h"
   
5. 
   
6. #include "unistd.h"
   
7. #include "signal.h"
   
8. #include "sys/socket.h"
   
9. #include "sys/types.h"
   
10. #include "netinet/in.h"
    
11. #include "arpa/inet.h"
    
12. #include "errno.h"
    
13. #include "netdb.h"
    
14. #include "net/if.h"
    
15. #include "sys/ioctl.h"
    
16. #include "linux/if_ether.h"
    
17. 
    
18. extern int errno;
    
19. 
    
20. void catch_sigint(int signum) {
    
21.         printf("catch sigint...\n");
    
22.         exit(0);
    
23. }
    
24. 
    
25. 
    
26. int main() {
    
27. 
    
28.         int sockfd;
    
29.         if((sockfd = socket(AF_INET, SOCK_RAW, IPPROTO_RAW)) == -1) {
    
30.                  perror("socket()");
    
31.                  return(-1);
    
32.         }
    
33. 
    
34. 
    
35.         struct sigaction sig;
    
36.         sig.sa_handler = catch_sigint;
    
37.         sigemptyset(&sig.sa_mask);
    
38.         sig.sa_flags = 0;
    
39.         if(sigaction(SIGINT, &sig, 0) == -1)perror("sigaction()");
    
40. 
    
41. 
    
42.         char buf[2048];
    
43.         char strs[128];
    
44.         char strd[128];
    
45.         for(;;) {
    
46.                 int n = recvfrom(sockfd, buf, sizeof(buf), 0,0, 0);
    
47.                 if(n == -1)perror("recvfrom()");
    
48.                 else  {
    
49.                         printf("success recv %d bytes\n", n);
    
50.                         continue;
    
51.                 }
    
52.         }
    
53.         return 0;
    
54. }                                    
    

复制代码

有数据流过但是监听不到!!!
哪里出问题了呢,还是本身就是应该监听不到呢!
要是换成 socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL)) 就能收到所有数据帧的
什么原因呢?

[ 本帖最后由 HJLin 于 2008-7-30 21:11 编辑 ]

HJLin

原帖由 贺兰云天 于 2008-7-31 09:54 发表
没什么可参考时，就实践下吧，顺便补全下你的博文，最好总结一下

是啊,每次看看总会发现以前写的不足和漏洞

贺兰云天

没什么可参考时，就实践下吧，顺便补全下你的博文，最好总结一下

HJLin

原帖由 贺兰云天 于 2008-7-30 23:53 发表

哈哈，我给你说的是用AF_PACKET是，第三个参数用TCP,UDP这些L4层协议是没意义的，没想到你理解的这么偏激，汗一个
至于混杂模式是另外一回事了，跟raw socket别掺和

是啊,反正意思都一样的了!
http://blog.chinaunix.net/u2/62281/showart.php?id=1096746

现在我就是不知道能否通过 socket(AF_INET, SOCK_RAW, ..)
第三个参数来接收所有的协议类型的数据包.

贺兰云天

原帖由 HJLin 于 2008-7-30 23:21 发表

而且我很负责人的说, AF_PACKET和PF_PACKET是一样的，专门用来处理raw socket数据的，所以第三个参数基本上没意义。第三个参数是绝对有意义的,只有4种可能,ETH_P_IP ETH_P_ARP ETH_P_RARP ETH_P_ALL,选择任何 ...

哈哈，我给你说的是用AF_PACKET是，第三个参数用TCP,UDP这些L4层协议是没意义的，没想到你理解的这么偏激，汗一个
至于混杂模式是另外一回事了，跟raw socket别掺和

[ 本帖最后由 贺兰云天 于 2008-7-30 23:57 编辑 ]

HJLin

原帖由 duanjigang 于 2008-7-30 23:12 发表
AF_PACKET和PF_PACKET是一样的，专门用来处理raw socket数据的，所以第三个参数基本上没意义。
而你用AF_INET就跟普通的socket一样，需要第三个参数指明处理的协议类型。

而且我很负责人的说, AF_PACKET和PF_PACKET是一样的，专门用来处理raw socket数据的，所以第三个参数基本上没意义。第三个参数是绝对有意义的,只有4种可能,ETH_P_IP ETH_P_ARP ETH_P_RARP ETH_P_ALL,选择任何其他的系统都不会吧数据复制给你的
而且在混杂模式下, ETH_P_ALL可以接收到 非发往本地mac的数据帧.
其他3个参数都无法接收到 非发往本地mac的数据帧
内容很多

HJLin

我能理解你的意思,但是你没有能够理解我的意思

duanjigang

AF_PACKET和PF_PACKET是一样的，专门用来处理raw socket数据的，所以第三个参数基本上没意义。
而你用AF_INET就跟普通的socket一样，需要第三个参数指明处理的协议类型。

HJLin

原帖由 duanjigang 于 2008-7-30 22:51 发表

这就是AF_INET和AF_PACKET的区别了
使用AF_INET,就跟普通socekt一样，你能通过第三个参数来制定处理TCP，UDP或者ICMP等包
而使用AF_PACKET第三个参数指定为IPPROTO_TCP，IPPROTO_UDP， IPPROTO_ICMP等就收不 ...

而使用AF_PACKET第三个参数指定为IPPROTO_TCP，IPPROTO_UDP， IPPROTO_ICMP等就收不 ...
你说的AF_PACKET的指的是什么啊
是socket(AF_PACKET, SOCK_RAW, ..)吗?
如果指的是这个的话,你指定第三个参数指定为IPPROTO_TCP，IPPROTO_UDP， IPPROTO_ICMP是没有任何意义的啊.
因为它的参数可选的是 ETH_P_IP(0x800) ETH_P_ARP(0x806) ETH_P_RARP(0x8035)ETH_P_ALL(0x3) ,这个类型是以太网数据帧的协议类型啊.随便写一个6,17,1(对应你上面的3中类型肯定是不行的啊,再说他们占的大小也不同,一个是2字节一个是1字节)
要是创建了一个socket(AF_PACKET, SOCK_RAW, IPPROTO_TCP)的套接字,协议类型是6. 以太网输入例程分析之后,怎么也不会找到个6相对应的数据帧拷贝给你的这个socket啊.

http://blog.chinaunix.net/u2/62281/showart.php?id=1096746

[ 本帖最后由 HJLin 于 2008-7-30 23:11 编辑 ]

duanjigang

原帖由 HJLin 于 2008-7-30 22:09 发表


下面的代码,能够使用,还是哪里我理解的有问题...

#include "stdio.h"
#include "stdlib.h"
#include "string.h"

#include "unistd.h"
#include "signal.h"
#include "sys/socket.h"
#include " ...

这就是AF_INET和AF_PACKET的区别了
使用AF_INET,就跟普通socekt一样，你能通过第三个参数来制定处理TCP，UDP或者ICMP等包
而使用AF_PACKET第三个参数指定为IPPROTO_TCP，IPPROTO_UDP， IPPROTO_ICMP等就收不到数据包，因为上文中已提到：
“as for AF_INET vs. AF_PACKET, well the former is the normal IP family, in
which you can have TCP, UDP, or raw sockets, while the latter is the Linux-specific
packet family, specifically designed for sniffing link-level packets off the wire”
AF_PACKET是专门用来处理raw socket的，符合我上面列举的规则
是否可以这样总结raw socket的用法：
(1):如果想单独处理TCP，UDP或者ICMP，可用AF_INET， 第三个参数用IPPROTO_TCP， IPPROTO_UDP等
(2):如果想对各种IP包进行处理，则用AF_PACKET/PF_PACKET,第三个参数用htons(ETH_P_IP)
(3):如果想处理一切链路层上的包(IP,RARP,ARP等)，则用AF_PACKET/PF_PACKET,第三个参数用 htons(ETH_P_ALL)

[ 本帖最后由 duanjigang 于 2008-7-30 23:04 编辑 ]