LINUX 网络编程 原始套接字

一 原始套接字

原始套接字(SOCK_RAW)是一种不同于SOCK_STREAM、SOCK_DGRAM的套接字，它实现于系统核心。然而，原始套接字能做什么呢？首先来说，普通的套接字无法处理ICMP、IGMP等网络报文，而SOCK_RAW可以；其次，SOCK_RAW也可以处理特殊的IPv4报文；此外，利用原始套接字，可以通过IP_HDRINCL套接字选项由用户构造IP头。总体来说，SOCK_RAW可以处理普通的网络报文之外，还可以处理一些特殊协议报文以及操作IP层及其以上的数据。

既然SOCK_RAW有以上特性，所以在某些处理流程上它区别于普通套接字。

·  若设置IP_HDRINCL选项，SOCK_RAW可以操作IP头数据（也就是用户需用填充IP头及其以上的payload）；否则SOCK_RAW无法操作IP头数据

·  端口对于SOCK_RAW而言没有任何意义

·  如果使用bind函数绑定本地IP，那么如果IP_HDRINCL未设置，则用此IP填充源IP地址；若不调用bind则将源IP地址设置为外出接口的主IP地址

·  如果使用connect函数设置目标IP，则可以使用send或者write函数发送报文，而不需要使用sendto函数

·  内核处理流程：

·   接收到的TCP、UDP分组不会传递给任何SOCK_RAW

·  ICMP、IGMP报文分组传递给SOCK_RAW

·  内核不识别的IP报文传递给SOCK_RAW

·  SOCK_RAW是否接收报文：

·      Protocol指定类型需要匹配，否则不传递给该SOCK_RAW

·       如果使用bind函数绑定了源IP，则报文目的IP必须和绑定的IP匹配，否则不传递给该SOCK_RAW

·       如果使用connect函数绑定了目的IP，则报文源IP必须和指定的IP匹配，否则不传递给该SOCK_RAW

综上所述，原始套接字处理的只是IP层及其以上的数据，比如实现SYN FLOOD攻击、处理PING报文等。当需要操作更底层的数据的时候，就需要采用其他的方式。