本文主要來(lái)自于linux自帶的man packet手冊(cè)：
http://man7.org/linux/man-pages/man7/packet.7.html

平時(shí)經(jīng)常使用的INET套接字提供的是7層的抓包能力，抓上來(lái)的data直接就是tcp或者udp的payload，無(wú)需關(guān)心L3和L4的頭部信息。

Packet套接字提供的是L2的抓包能力，也叫raw socket，意思就是不經(jīng)過(guò)操作系統(tǒng)tcp/ip協(xié)議棧處理的packet，抓上來(lái)的包需要自己處理tcp/ip的頭部信息。
目前使用packet套接字的主要有l(wèi)ibpcap，netsni?-ng，hostapd（hostapd是一個(gè)用戶(hù)層的無(wú)線AP管理程序）。

linux提供了的packet 套接字函數(shù)API如下：

       #include 
       #include 
       #include  /* the L2 protocols */

       packet_socket = socket(AF_PACKET, int socket_type, int protocol);

socket_type有SOCK_RAW 和?SOCK_DGRAM，這兩個(gè)的主要區(qū)別是2層的頭部處理。
如果指定SOCK_RAW, 那么我們得到的數(shù)據(jù)包含所有的L2 header和payload，
如果指定SOCK_DGRAM, 那么我們收到的數(shù)據(jù)會(huì)去掉L2的header，是IP header和payload。
二層的頭部信息會(huì)放到一個(gè)通用的struct?sockaddr_ll結(jié)構(gòu)體中。

protocol主要是中定義的協(xié)議類(lèi)型，我們可以指定ETH_P_IP來(lái)抓取IP ?packet，ETH_P_ARP 來(lái)抓取ARP的packet，一般情況下我們可以指定ETH_P_ALL來(lái)抓取所有類(lèi) ?型的packet。
注意：傳入?yún)?shù)的時(shí)候應(yīng)該轉(zhuǎn)化成網(wǎng)絡(luò)字節(jié)序htons(ETH_P_ALL)。

sockaddr_ll結(jié)構(gòu)體用來(lái)表似乎一個(gè)設(shè)備獨(dú)立的物理層地址信息，定義如下：

struct sockaddr_ll {
               unsigned short sll_family;   /* Always AF_PACKET */
               unsigned short sll_protocol; /* Physical layer protocol */
               int            sll_ifindex;  /* Interface number */
               unsigned short sll_hatype;   /* ARP hardware type */
               unsigned char  sll_pkttype;  /* Packet type */
               unsigned char  sll_halen;    /* Length of address */
               unsigned char  sll_addr[8];  /* Physical layer address */
           };

每個(gè)域的定義如下：
sll_family: ?總是AF_PACKET
ssll_protocol:?中定義的那些協(xié)議類(lèi)型，也就是我們傳給socket的第二個(gè)參 ? ?數(shù)，注意是網(wǎng)絡(luò)序。

sll_ifindex: 內(nèi)核中網(wǎng)卡的index，定義在ifreq結(jié)構(gòu)體中，可以參考下面的鏈接：
http://man7.org/linux/man-pages/man7/netdevice.7.html

if_nametoindex()函數(shù)提供了從網(wǎng)卡名到index的轉(zhuǎn)換，后面的示例代碼中會(huì)用到這個(gè)函數(shù)。如
果man找不到這個(gè)函數(shù)用法，那么需要安裝?manpages-posix-dev 。

sll_hatype: ARP硬件類(lèi)型，在頭文件中定義，比如ARPHRD_ETHER表示
10Mbps 的Ethernet網(wǎng)卡類(lèi)型。內(nèi)核使用ARPHDR_XXX來(lái)表示網(wǎng)卡類(lèi)型。
sll_pkttype: 表示當(dāng)前接收的數(shù)據(jù)包的類(lèi)型，主要有下面幾種合法的值：

       PACKET_HOST 發(fā)送給當(dāng)前主機(jī)的包,
       PACKET_BROADCAST 廣播數(shù)據(jù)包,
       PACKET_MULTICAST 多播數(shù)據(jù)包
       PACKET_OTHERHOST 由于網(wǎng)卡設(shè)置了混雜模式收到的發(fā)送給別的主機(jī)的包
       PACKET_OUTGOING 從本機(jī)發(fā)出的，不小心loopback到當(dāng)前socket了
       這些類(lèi)型只有接收的時(shí)候才有意義。

sll_halen: 表示當(dāng)前mac地址的長(zhǎng)度
sll_addr: 存儲(chǔ)當(dāng)前的mac地址

發(fā)送數(shù)據(jù)包的時(shí)候只要設(shè)置下面幾個(gè)域就足夠了：

sll_family, sll_addr, sll_halen, sll_ifindex. 其余的都應(yīng)該設(shè)置為0

sll_hatype 和?sll_pkttype在接收數(shù)據(jù)包的時(shí)候會(huì)被設(shè)置為當(dāng)前數(shù)據(jù)包的信息。
對(duì)于bind()函數(shù)來(lái)說(shuō)，只有sll_protocol 和 sll_ifindex會(huì)被用到。

本文后續(xù)系列packet socket 選項(xiàng)以及mmap相關(guān)都在個(gè)人的獨(dú)立blog上：

www.hiyoufu.com

歡迎訪問(wèn)！