本文主要來自于linux自帶的man packet手冊：
http://man7.org/linux/man-pages/man7/packet.7.html

平時經常使用的INET套接字提供的是7層的抓包能力，抓上來的data直接就是tcp或者udp的payload，無需關心L3和L4的頭部信息。

Packet套接字提供的是L2的抓包能力，也叫raw socket，意思就是不經過操作系統(tǒng)tcp/ip協(xié)議棧處理的packet，抓上來的包需要自己處理tcp/ip的頭部信息。
目前使用packet套接字的主要有l(wèi)ibpcap，netsni?-ng，hostapd（hostapd是一個用戶層的無線AP管理程序）。

linux提供了的packet 套接字函數API如下：

       #include 
       #include 
       #include  /* the L2 protocols */

       packet_socket = socket(AF_PACKET, int socket_type, int protocol);

socket_type有SOCK_RAW 和?SOCK_DGRAM，這兩個的主要區(qū)別是2層的頭部處理。
如果指定SOCK_RAW, 那么我們得到的數據包含所有的L2 header和payload，
如果指定SOCK_DGRAM, 那么我們收到的數據會去掉L2的header，是IP header和payload。
二層的頭部信息會放到一個通用的struct?sockaddr_ll結構體中。

protocol主要是中定義的協(xié)議類型，我們可以指定ETH_P_IP來抓取IP ?packet，ETH_P_ARP 來抓取ARP的packet，一般情況下我們可以指定ETH_P_ALL來抓取所有類 ?型的packet。
注意：傳入參數的時候應該轉化成網絡字節(jié)序htons(ETH_P_ALL)。

sockaddr_ll結構體用來表似乎一個設備獨立的物理層地址信息，定義如下：

struct sockaddr_ll {
               unsigned short sll_family;   /* Always AF_PACKET */
               unsigned short sll_protocol; /* Physical layer protocol */
               int            sll_ifindex;  /* Interface number */
               unsigned short sll_hatype;   /* ARP hardware type */
               unsigned char  sll_pkttype;  /* Packet type */
               unsigned char  sll_halen;    /* Length of address */
               unsigned char  sll_addr[8];  /* Physical layer address */
           };

每個域的定義如下：
sll_family: ?總是AF_PACKET
ssll_protocol:?中定義的那些協(xié)議類型，也就是我們傳給socket的第二個參 ? ?數，注意是網絡序。

sll_ifindex: 內核中網卡的index，定義在ifreq結構體中，可以參考下面的鏈接：
http://man7.org/linux/man-pages/man7/netdevice.7.html

if_nametoindex()函數提供了從網卡名到index的轉換，后面的示例代碼中會用到這個函數。如
果man找不到這個函數用法，那么需要安裝?manpages-posix-dev 。

sll_hatype: ARP硬件類型，在頭文件中定義，比如ARPHRD_ETHER表示
10Mbps 的Ethernet網卡類型。內核使用ARPHDR_XXX來表示網卡類型。
sll_pkttype: 表示當前接收的數據包的類型，主要有下面幾種合法的值：

       PACKET_HOST 發(fā)送給當前主機的包,
       PACKET_BROADCAST 廣播數據包,
       PACKET_MULTICAST 多播數據包
       PACKET_OTHERHOST 由于網卡設置了混雜模式收到的發(fā)送給別的主機的包
       PACKET_OUTGOING 從本機發(fā)出的，不小心loopback到當前socket了
       這些類型只有接收的時候才有意義。

sll_halen: 表示當前mac地址的長度
sll_addr: 存儲當前的mac地址

發(fā)送數據包的時候只要設置下面幾個域就足夠了：

sll_family, sll_addr, sll_halen, sll_ifindex. 其余的都應該設置為0

sll_hatype 和?sll_pkttype在接收數據包的時候會被設置為當前數據包的信息。
對于bind()函數來說，只有sll_protocol 和 sll_ifindex會被用到。

本文后續(xù)系列packet socket 選項以及mmap相關都在個人的獨立blog上：

www.hiyoufu.com

歡迎訪問！