AF_PACKET 套接字在 Linux 中如何工作?
问题描述 投票:0回答:1
我正在尝试为 Linux 编写一个 C 嗅探器,并了解嗅探时内核中发生的操作。
我无法找到以下问题的答案: 如果我通过以下方式初始化套接字:
sock_raw = socket(AF_PACKET , SOCK_RAW , htons(ETH_P_ALL));
内核中发生了什么?我如何看到所有传入和传出的数据包,但不“劫持”它们?因为我到目前为止所理解的是,当内核收到数据包时,它将其发送到相关的协议处理函数。因此我无法理解 - 除了我打开的套接字之外,内核还会克隆数据包并发送它吗?
1个回答
10
投票
投票
内核中发生了什么?
内核一旦从物理层接收到数据包(对于传入数据包)或在将它们发送到物理层(对于传出数据包)之前,就会简单地复制数据包。每个数据包的一份副本将发送到您的套接字。如果您使用 ETH_P_ALL,那么您正在监听所有接口,但您也可以
bind(2),您需要将数据为了发生
劫持
写入到注入新数据包的套接字(根据您想要劫持的协议准确制作)。如果您只读取传入的数据包,那么您只是嗅探,而没有劫持任何东西。 除了我打开的套接字之外,内核是否克隆数据包并发送它?
可以帮助您直观地看到它(点击放大):是的,基本上就是这样。
这张图片
man 7 packet
数据包套接字用于在设备驱动程序(OSI 第 2 层)级别接收或发送原始数据包。它们允许用户在物理层之上的用户空间中实现协议模块。
是包含链路级标头的原始数据包的
socket_type
SOCK_RAW,或者是删除了链路级标头的熟数据包的SOCK_DGRAM。链路级标头信息以sockaddr_ll结构中的通用格式提供。protocol是网络字节顺序中的 IEEE 802.3 协议号。请参阅<linux/if_ether.h>包含文件以获取允许的协议列表。当protocol设置为htons(ETH_P_ALL)时,则接收所有协议。该协议类型的所有传入数据包将先传递到数据包套接字,然后再传递到内核中实现的协议。
最新问题
- 获取 YouTube 播放器元素时出现问题
- MVC-模板-项目-运行-屏幕-收缩-视觉-工作室-2022
- 从 Visual Studio 2022 在 Ubuntu 22 上调试 SQL Server 失败
- 使用 Grafana 10 上的 influxdb 测量的标签创建变量并相互“关联”变量
- Spring Boot:注册前检查ObjectMapper模块是否已注册
- 比较 3 个 CASE 表达式的整体值
- 默认使用 docker compose 将 Metabase 连接到选择的数据库
- 在 VS Code 中打开工作区时打开默认文件
- 在 PyCharm 虚拟环境中训练后模型未保存
- onClick 不起作用 React js
- Azure Ad SSO 身份验证失败并重定向回登录页面,然后获取 TOO_MANY_REDIRECTS
- 使用 Firestore Eventarc 通知和 Google Cloud Run + Kotlin/Ktor 解析 protobuf 负载
- 修复 Excel 文件上的未来警告 Concat
- 将对象列表作为参数传递到 Terraform 模块中
- 如何使用 NextJS 14 和 TypeScript 安装 AG-Grid?
- VSCode 中 GitHub copilot 扩展的内联完成功能不起作用
- MySQL:计算一个表中的记录,然后更新另一个表
- 如何在 Android 中自动化鼠标事件
- 在Python中从二进制值解压缩文件
- 如何在手机中集成icici支付网关?
© www.soinside.com 2019 - 2024. All rights reserved.