利用原始套接字（SOCK_RAW）对ip数据进行监听

这两天在linux服务器上利用原始套接字搞了一个数据包监听转发工具，其中的关键代码摘抄如下：

   ...

  m_sockid=::socket(PF_PACKET, SOCK_RAW,0);
  if(m_sockid==INVALID_SOCKET)return false;

   struct sockaddr_ll sll;
  struct ifreq ifr;

  sll.sll_family = AF_PACKET;
  sll.sll_protocol = htons(ETH_P_IP);
  if(dip!=INADDR_ANY)
  { 
   for(int i=0;i<100;i++)
   {
    sprintf(ifr.ifr_name,"eth%d",i);
    if(ioctl(m_sockid,SIOCGIFADDR,&ifr)<0)
    {
     ::close(m_sockid);
       return false;
    }
    if(((sockaddr_in*)&ifr.ifr_addr)->sin_addr.s_addr==dip)//dip是需要绑定的网卡地址
    {
     ioctl(m_sockid,SIOCGIFINDEX,&ifr);
     sll.sll_ifindex = ifr.ifr_ifindex;
     break;
    }
   }
  }
  else
  {
   sll.sll_ifindex = 0; //接收全部网卡数据包
  }

  if(::bind(m_sockid, (sockaddr *)&sll, sizeof(sockaddr_ll))!=0)//绑定网卡
  {
   ::close(m_sockid);
   return false;
  }
  else
  {
   return true;
  } 

 ...

如上，便建立了一个可以收听特定网卡全部ip数据包的原始套接字，其他略。

其他文章：

.NET 与安全性—— 数据加密算法

修改权限防止病毒或木马等破坏您的系统

常用木马病毒的通用解法

解禁注册表之三大散手

XP登陆口令破解

Hooks（钩子）监听消息的方法

asp清除网页历史记录2