我们需要指定地址族为AF_PACKET，协议为htons(ETH_P_ALL)来捕获所有传入和传出的数据包。可以使用sendto和recvfrom函数来发送和接收数据包。

tcpdump工作原理tcpdump是Linux系统中非常有用的网络工具，运行在用户态，本质上是通过调用libpcap库的各种api来实现数据包的抓取功能，利用内核中的AF_PACKET套接字，抓取网络接口中传输的网络包

自定义一个ARP请求或响应，并使用AF_PACKET套接字发送，需要手动创建整个以太网帧。

摘抄自https://www.xuebuyuan.com/2179173.html学步园PACKET_MMAP实现原理分析2014年10月06日⁄综合⁄共4737字⁄字号小中大⁄评论关闭PACKET_MMAP实现原理分析samonr4l|更新时间:2011-08-1116:56:32|点击数:155自动刷新PACKET_MMAP实现的代码都在net/packet/af_packet.c中，其中一些

测试版本：Linux-v4.10.6测试环境下载地址编译选项：CONFIG_PACKET=y（启用AF_PACKET套接字选项）CONFIG_USER_NS=y（用户命名空间—CAP_NET_RAW权限

socket.socket(family=AF_INET,type=SOCK_STREAM,proto=0,fileno=None)family：AF_INET,AF_INET6,AF_UNIX,AF_CAN,AF_PACKET

今天介绍一下AF_PACKET的用法，分为两种方式。第一种方法是通过套接字，打开指定的网卡，然后使用recvmsg读取，实际过程需要需要将报文从内核区拷贝到用户区。

对于使用内存映射（MMAP）方式与应用层交互报文的AF_PACKET类型套接口，可以设置扇出组（FANOUT）。

FastNetMon使用笔记FastNetMon是一个高性能的DoS/DDoS检测工具:支持多种抓包引擎:netmap,PF_RING,PCAP,AF_PACKET,AF_XDP;;支持多种流量解析:NetFlowv5

BPF用于很多的抓包程序，在linux中，一般内核自动编译进了af_packet这个驱动，因此只需要在用户态配置一个PACKET的socket，然后将filter配置进内核即可，使用setsockopt

通过了解socket(intdomain,inttype,intprotocol)接口，我们知道利用socket的AF_PACKET或者PF_PACKET域，和类型SOCK_RAW再加上协议就可以监听获得指定协议的以太帧

有很多种方法来创建rawsockets，例如AF_PACKET,PF_PACKET。

packetsocket的创建方式如下：socket(AF_PACKET,intsocket_type,intprotocol);其中socket_type有SOCK_

原文地址::http://blog.chinaunix.net/uid-16813896-id-5086439.html相关文章1、C语言中利用AF_PACKET原始套接字发送一个任意以太网帧(二）--

AF_XDP(AddressFamilyeXpressDataPath)和AF_INET,AF_PACKET一样，属于addressfamily的一种，AF_XDPsocket通过XDP直接将网卡收到的数据包

pcap_loop调用pcap_read_linux_mmap_v3循环捕获数据，此时程序已经进入正常嗅探过程，而我们应该重点关注的点应该是在这之前的启动过程。整体了解之后发现一切都是围绕着socket展开，这个socket和以往纯应用层tcp/udp的socket不一样，它将Ethernet、ip、tcp层的数据都暴露出来，被称作原始套接字。libpcap/tcpdump就是用原始套接字来捕获网

模块名：af_packet。如果不清楚，选Y。[*]Packetsocket:

includeintsocket(intdomain,inttype,intprotocol);功能：创建一个套接字，返回一个文件描述符参数：domain：通信域AF_UNIX本地通信AF_INETIPV4网络通信AF_PACKET

摘抄自https://www.xuebuyuan.com/2179173.html学步园PACKET_MMAP实现原理分析2014年10月06日⁄综合⁄共4737字⁄字号小中大⁄评论关闭PACKET_MMAP实现原理分析samonr4l|更新时间:2011-08-1116:56:32|点击数:155自动刷新PACKET_MMAP实现的代码都在net/packet/af_packet.c中，其中一些

defineETH_P_IP0x0800#include/*设备无关的物理层地址结构,通过setsockopt可以设置网卡的多播或混杂模*/structsockaddr_ll{unsignedshortsll_family;/*AF_PACKET

前言Suricata是一套开源入侵检测系统,其源代码可以通过github在线查看.https://github.com/OISF/suricata关于AF_PACKET原始套接字的用法可以参考下列代码https

前言Suricata是一套开源入侵检测系统,其源代码可以通过github在线查看.https://github.com/OISF/suricata关于AF_PACKET原始套接字的用法可以参考下列代码https

socket.socket(family=AF_INET,type=SOCK_STREAM,proto=0,fileno=None)family：AF_INET,AF_INET6,AF_UNIX,AF_CAN,AF_PACKET

socket.socket(family=AF_INET,type=SOCK_STREAM,proto=0,fileno=None)family：AF_INET,AF_INET6,AF_UNIX,AF_CAN,AF_PACKET

includeintsocket(intdomain,inttype,intprotocol);函数参数family参数默认选择AF_INET名称目的AF_INETIPv4网络通信AF_INET6IPv6网络通信AF_PACKET

(跳过网络层和传输层的过滤解析，因而可以直接处理新的或是自定义的数据包格式)常用创建RAWSocket格式的方法：AF_PACKET和PF_SOCKET。AF_PACKET用于win和mac系统。

本文分析二层报文，例如：socket（AF_PACKET,SOCK_RAW, ETH_P_ALL）方式创建的socket，可以检测到所有的二层报文。

PACKET(7) 2008-08-08 NAME        packet, AF_PACKET —— 设备层的包接口。

前几天做了一个feature，使用raw socket加AF_PACKET。选择了一部分，修改了下，变成一个简单的例子，分享出来。用这个只要你能接入网络，你想发什么就发什么，别干坏事就好:-)。

------历史-------AF_NET最早生出，后来有了AF_PACKET。----结束历史-------AF_NET常见。

有很多种方法来创建rawsockets，例如AF_PACKET,PF_PACKET。

使用socket(AF_PACKET,SOCK_RAW,ETH_P_ALL)创建的套接字到底为何于众不同，今日追踪了一下。

4.5、原始套接字：这里的原始套接字是指链路层的原始套接字，即socket类型为AF_PACKET的套接字，它将为应用程序获取它所需以太网类型的以太网报文，应用程序通过如下系统调用在内核中创建相应的socket

http://blog.csdn.net/kzm2008/article/details/5372834man7ipman7packetPacketsocketsareusedtoreceiveorsendrawpacketsatthedevicedriver(OSILayer2)level.Theyallowtheusertoimplementprotocolmodulesinuserspace

blog.chinaunix.net/uid-22362479-id-3220107.htmlhttp://blog.chinaunix.net/uid-22362479-id-3220136.html 使用socket(AF_PACKET

模块名：af_packet。如果不清楚，选Y。[*] Packetsock

ObjectiveTosendanarbitraryEthernetframeusingan AF_PACKET socketBackgroundEthernetisalinklayerprotocol.Mostnetworkingprogramsinteractwiththenetworkstackatthetransportlayerorabove

. */ line115 #define AF_PACKET PF_PACKE

tcpcopy代码中试验了各种不同的抓包函数：1）intsock=socket(AF_PACKET,SOCK_DGRAM,htons(ETH_P_ALL));这个函数工作在数据链路层，可以截取IN的数据包和