给出一个 netdump 程序, 抓包用的. 如果改进了,也希望贴出

mousejiji

0是IPPROTO_IP默认的值吧  我也换成过IPPROTO_IP
情况一样
只有写IPPROTO_TCP才不报错
奇怪呀

思一克

你要的含义应该用IPPROTO_RAW

IPPROTO_IP （０）不是IP层上的一个协议，　IPPROTO_TCP(UDP/ICMP)是。

mousejiji

记得上次问过一个sock=socket(AF_INET,SOCK_RAW,IPPROTO_TCP) 的问题 在各位大侠的热心相助下终于搞定了
可现在又出现了新问题：1.程序编好后（捕获网络上的所有的包），运行时打印出的 IP源地址 目的地址 居然相同？ 我仔细看了不是代码的手误 而且我编译执行精华里”给出一个 netdump 程序, 抓包用的. 如果改进了,也希望贴出 “ 上的程序 打印出的源 目地址也相同（是指对于一个包来说 它的源 目IP地址相同） 怎么回事呀？？
2.关于字节序的问题：我想问网络字节序到底是把整个的32bit从高到低颠倒过来还是分成字段 每字段分别颠倒？
3.看到精华的程序里都是输出端口号的时候转换字节序（ntohs(***)）,输出其他的时候（如：len ）的时候却没有用ntohs 这是为什么呢？难道len不用转换成机器字节序吗？

mousejiji

现在又出现了一个新问题
我不能写if(sock=socket(AF_PACKET,SOCK_RAW,htons(ETH_P_ALL))==-1) {.....}
而只能写sock=socket(AF_PACKET,SOCK_RAW,htons(ETH_P_ALL)) 写if的那个会报错:Invalid argument
晕了 哪位知道是怎么回事呀

rootclown

接收到任何一个机器发出来的ARP请求包,立马回一个ARP返回包,里面返回的MAC地址是随机的(够狠icon_smile.gif,这样网络里的MAC地址和IP地址对应关系就会乱掉了,这样整个网络的数据交互就瘫痪了

能保证比ARP请求的目的主机更早响应？我写了一个向局域网内所有的主机发送一个ARP请求，把他们的回复保存起来，然后每一秒就冒充网关向他们发送ARP reply,我想这样应该效果更好吧

JohnBull

原帖由 "rootclown" 发表：

能保证比ARP请求的目的主机更早响应？

有必要吗？应该吗？
再想想.

rootclown

是不是不管有没有请求，只要是受到ARP reply ，如果ARP cache里的与受到的不一致，都会进行更新？

rootclown

刚看了RFC826，发现了这个，以前没仔细看：）   
  

1. 
   
2.    Notice that the <protocol type, sender protocol address, sender
   
3. hardware address>; triplet is merged into the table before the
   
4. opcode is looked at.  This is on the assumption that communcation
   
5. is bidirectional; if A has some reason to talk to B, then B will
   
6. probably have some reason to talk to A.  Notice also that if an
   
7. entry already exists for the <protocol type, sender protocol
   
8. address>; pair, then the new hardware address supersedes the old
   
9. one.  
   
10. 
    
11. 
    

复制代码

narkissos

pat

narkissos

建议大家茶余饭后找来libnet和libpcap看看（来个tcpdump就更好了），基本上就差不多了

mousejiji，关于网络字节顺序问题，建议去google查big endian、little endian就清楚了（按字节转）