简要分析SOCK_RAW参数的含义

于 2025-03-13 10:39:11 发布
阅读量365 收藏 4
点赞数 4
分类专栏: 基础内核函数分析 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41123217/article/details/146224641
版权

SOCK_RAW是套接字编程中socket()函数的一个参数,用于创建原始套接字。原始套接字允许应用程序绕过传输层协议(如TCP或UDP),直接与网络层(IP层)或更底层协议(如ICMP交互),从而手动构造或解析协议头部(如IP、ICMP头)

基本定义

int socket(int domain, int type, int protocol);
  • 参数说明
    • domain:协议族,如AD_INET(IPv4)或AF_INET6(IPv6)
    • type:套接字类型,SOCK_RAW标识创建原始套接字
    • protocol:指定协议类型(需与domain匹配),例如:
      • IPPROTO_ICMP (ICMP协议)
      • IPPROTO_TCP(TCP协议)
      • IPPROTO_UDP(UDP协议)
      • IPPROTO_RAW(允许自定义IP头)

核心用途

  1. 自定义协议实现
    1. 可直接构造或解析网络层(IP)或传输层(如TCP、UDP)的协议头部,适用于开发非标准协议
  2. 网络嗅探与抓包
    1. 可捕获流经网卡的所有数据包(需混杂模式),用于网络监控或调试工具(类似tcpdump)
  3. 安全工具开发
    1. 如实现网络扫描器(如ping、traceroute)、防火墙规则测试、拒绝服务(Dos)攻击检测等。
  4. 协议栈测试
    1. 通过手动构造异常数据包,测试网络协议栈的健壮性。
示例代码 
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/socket.h>
#include <netinet/ip.h>
#include <netinet/icmp.h>
#include <arpa/inet.h>

int main() {
    // 创建原始套接字(需 root 权限)
    int sockfd = socket(AF_INET, SOCK_RAW, IPPROTO_ICMP);
    if (sockfd < 0) {
        perror("socket() failed");
        exit(1);
    }

    // 构造 ICMP 数据包
    char packet[1024];
    struct icmphdr *icmp = (struct icmphdr *)packet;
    icmp->type = ICMP_ECHO;  // ICMP 回显请求
    icmp->code = 0;
    icmp->checksum = 0;      // 需计算校验和
    icmp->un.echo.id = getpid();
    icmp->un.echo.sequence = 0;

    // 目标地址(例如 ping 8.8.8.8)
    struct sockaddr_in dest;
    dest.sin_family = AF_INET;
    dest.sin_addr.s_addr = inet_addr("8.8.8.8");

    // 发送数据包
    sendto(sockfd, packet, sizeof(struct icmphdr), 0, 
           (struct sockaddr *)&dest, sizeof(dest));

    close(sockfd);
    return 0;
}

注意事项

  1. 权限要求
    1. 在大多数系统中,创建原始套接字需要root权限(或CAP_NEW_RAW能力),否则会返回EPERM错误
  2. 协议头构造
    1. 适用SOCK_RAW时,需手动构造协议头(如IP头、ICMP头),并计算校验和(如IP校验和、ICMP校验和)。
  3. 操作系统差异
    1. Linux:支持直接构造IP头(需设置IP_HDRINCL选项)
    2. Windows:原始套接字功能受限,无法构造TCP、UDP数据包
  4. 数据包分片
    1. 若数据包超过MTU(最大传输单元),需手动处理分片(或依赖内核自动分片)
  5. 防火墙拦截
    1. 某些防火墙会阻止原始套接字发送的数据包,需配置防火墙规则

常见错误

  • EPERM(权限不足)
    • 解决方案:以root权限运行程序,或授予CAP_NET_RAW能力
sudo setcap cap_net_raw+ep /path/to/program
  • EACCES(协议不支持)
    • 检查protocol参数是否与domain匹配(如IPv4套接字不能使用IPPROTO_ICMPV6)

总结

SOCK_RAW是一种底层网络编程工具,适用于需要直接操作网络协议头的场景,尽管功能强大,但其复杂性较高,通常仅在以下情况使用
  • 开发网络诊断工具(如ping、traceroute)
  • 实现自定义协议或安全工具
  • 网络协议栈研究或测试
对于常规应用(如HTTP客户端、服务端),优先选择高层协议(如SOCK_STREAM对应TCP)

使用SOCK_DGRAM类型的socket实现的ping程序
whowin
04-28 1526
SOCK_DGRAM类型的socket常用于UDP通信,本文将尝试把这种socket用于ICMP协议,并完成一个简单的ping程序。使用ping去测试某个主机是否可用可能是一件很平常的事,尽管ping非常普通,但是编写一个实现ping功能的程序却并不是那么简单,因为ping使用的ICMP协议并不是一个应用层协议,本文简要介绍ICMP协议,并给出一个使用普通的常用于UDP通信的socket实现ping的实例,本文将提供完整的源程序;阅读本文需要熟悉socket编程,对初学者而言,本文有一定的难度。
linux内核协议栈 socket 创建流程
09-11 3005
目录 1、socket 概述 2、socket 创建入口 2.1、sys_socketcall 2.2、sys_socket 3、socket 创建过程 3.1、sock_create(__sock_create) 3.2、socket 节点分配以及初始化(sock_alloc) 3.3、根据指定协议族继续初始化 3.3.1、inet_create注册(inet_init) 3.3.2、inet_create调用(核心) 1、socket 概述 为了建立Socket,程序可以调用So
SOCK_RAWSOCK_STREAM 、SOCK_DGRAM 区别
热门推荐
markman101---神即是道 道法自然 如来
06-17 1万+
TCP/IP 四层模型: 其中 SOCK_STREAM、SOCK_DGRAM 工作在传输层,SOCK_RAW 工作在网络层。 SOCK_RAW 可以 处理ICMP、IGMP等网络报文、特殊的IPv4报文、可以通过IP_HDRINCL套接字选项由用户构造IP头。
Socket网络编程---利用SOCK_RAW实现ping命令功能
0xff
04-28 4020
一、SOCK_RAW SOCK_RAW(原始套接字)是一种底层的SOCKET编程接口,它在系统核心实现,需要用户自行构造数据报文,编程比较复杂。 然而,原始套接字能做什么呢? 首先来说,普通的套接字无法处理ICMP、IGMP等网络报文,而SOCK_RAW可以;其次,SOCK_RAW也可以处理特殊的IPv4报文;此外,利用原始套接字,可以通过IP_HDRINCL套接字选项由用户构造IP头。总体来说,...
UNIX网络编程——原始套接字SOCK_RAW
weixin_33742618的博客
08-03 301
实际上,我们常用的网络编程都是在应用层的报文的收发操作,也就是大多数程序员接触到的流式套接字(SOCK_STREAM)和数据包式套接字(SOCK_DGRAM)。而这些数据包都是由系统提供的协议栈实现,用户只需要填充应用层报文即可,由系统完成底层报文头的填充并发送。然而在某些情况下需要执行更底层的操作,比如修改报文头、避开系统协议栈等。这个时候就需要使用其他的方式来实现。一、 原始...
[置顶] 浅谈原始套接字 SOCK_RAW 的内幕及其应用(port scan, packet sniffer, syn flood, icmp flood)
pi9nc的专栏
04-10 1878
[置顶] 浅谈原始套接字 SOCK_RAW 的内幕及其应用(port scan, packet sniffer, syn flood, icmp flood) 分类: linux网络编程2013-10-07 16:30 1023人阅读 评论(0) 收藏 举报 原始套接字SOCK_RAWsyn floodpacket sniffer 一、SOCK_RAW
sock_raw
hxchuan000的专栏
08-14 539
sock_raw编辑 本词条缺少信息栏、名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧! 理解一下SOCK_RAW的原理, 比如网卡收到了一个 14+20+8+100+4(以太网头+ip头+udp头+数据+crc) 的udp的以太网数据帧. 目录 1sock_raw使用 2内容 ▪ 协议类型 ▪ 示例代码 1sock
原始套接字-SOCK_RAW
wkk的博客
10-19 7176
winsocket通信 原始套接字sock_raw ping程序实现
简要分析SOCK-RAW参数含义
03-13
SOCK_RAW是套接字编程中的一个关键参数,它允许开发者通过socket()函数创建原始套接字。这种类型的套接字为网络编程提供了更深层次的控制和访问,使得应用程序能够绕过标准的传输层协议,直接与网络层或更底层的协议...
sock = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_ICMP)什么意思
02-18
好的,我现在需要解释用户提供的Python代码行`sock = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_ICMP)`是什么意思。用户之前询问过关于Impacket工具的使用错误,现在转向了网络编程中的socket...
sock_raw参考
05-15
sock_raw参考资料学习参考和linux char字符设备建立方法
简要分析bind函数的具体内容
最新发布
03-14
在用户态与内核态的交互过程中,用户首先通过包含sys/socket.h头文件来调用bind函数,该函数需要三个参数sockfd(套接字文件描述符)、addr(指向sockaddr结构体的指针,内含IP和端口信息)以及addrlen(地址...
RAW socket
zion--6135的博客
10-19 3200
当网卡处于这种“混杂”模式时,它对所有遇到的每一个数据帧都产生一个硬件中断,以提醒操作系统处理流经该物理媒体上的每一个报文包。要注意的是send/recv函数使用MSG_WAITALL的时候,sockfd 必须是处于阻塞模式下,否则WAITALL不能起作用。socket(PF_PACKET, SOCK_RAW, htons(ETH_P_XXX)) // 发送、接收数据链路层。查资料发现:默认情况下,网卡接收一个包,网卡只把发给本机的包(包括广播包)传到上层的APP。【以ptp报文帧为例】
SOCK_RAW
5G砖家的博客
12-08 290
如果要自己填充IP头,必须让内核放弃自动填充IP头的操作,否则会出现两个IP包头,导致整个IP包数据崩盘。 socket选项中的IP_HDRINCL选项,它的作用就是告诉内核不要填充头部,这个选项常用于黑客技术中,隐藏自己的IP地址。 Windows下:setsockopt(sock, IPPROTO_RAW, IP_HDRINCL, &val, sizeof(val)); Linux下:setsockopt(raw_sock, IPPROTO_IP, IP_HDRINCL, &on, s.
unix network programming 笔记——SOCK_RAW
marken
06-11 3203
sock_raw(注意一定要在root下使用)原始套接字编程可以接收到本机网卡上的数据帧或者数据包,对与监听网络的流量和分析是很有作用的.一共可以有3种方式创建这种socket 1.socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)发送接收ip数据包,不能用IPPROTO_IP,因为如果是用了IPPROTO_IP,
sock_rawsock_packet
HideInTime的博客
11-20 2961
套接字SOCK_RAWSOCK_PACKET 实际上,我们常用的网络编程都是在应用层的报文的收发操作,也就是大多数程序员接触到的流式套接字(SOCK_STREAM)和数据包式套接字(SOCK_DGRAM)。而这些数据包都是由系统提供的协议栈实现,用户只需要填充应用层报文即可,由系统完成底层报文头的填充并发送。然而在某些情况下需要执行更底层的操作,比如修改报文头、避开系统协议栈等。这个时候就需要使用其他的方式来实现。 一原始套接字 原始套接字(SOCK_RAW)是一种不同于SOCK_STREA...
网络编程原始套接字
Try Try Again
03-09 1348
网络编程原始套接字 SOCKET_STREAM 流式套接字     SOCKET_DGRAM       SOCKET_RAW 原始套接字   IPPROTO_IP IP协议   IPPROTO_ICMP INTERNET控制消息协议,配合原始套接字可以实现ping的功能   IPPROTO_IGMP INTERNET 网关服务协议,在多播中
原始套接字SOCK_RAW
qq_18287147的博客
06-04 1138
实际上,我们常用的网络编程都是在应用层的报文的收发操作,也就是大多数程序员接触到的流式套接字(SOCK_STREAM)和数据包式套接字(SOCK_DGRAM)。而这些数据包都是由系统提供的协议栈实现,用户只需要填充应用层报文即可,由系统完成底层报文头的填充并发送。然而在某些情况下需要执行更底层的操作,比如修改报文头、避开系统协议栈等。这个时候就需要使用其他的方式来实现。 一原始套接字 原始套接字(SOCK_RAW)是一种不同于SOCK_STREAM、SOCK_DGRAM的套接字,它实现于系统核心..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TJ_Dream

求各位大老爷们赞助赞助

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值