winpcap/libpcap 与原始套接字

Question

我启动了一个需要使用网络级数据包（例如 IP/ICMP/UDP/TCP 数据包）的项目。

有两种主要方法来处理它：原始套接字和 Winpcap/libpcap。

我知道 pcap 在操作系统上安装驱动程序并允许程序员捕获和发送数据包。另一方面，原始套接字在 Windows 7 或更高版本中具有一些限制。

该项目需要向路由器发送一些 IP/ICMP/UDP/TCP 数据包并分析响应，例如 IP-Identifier、TTL，...。我还希望它能在 Linux 和 Windows 上运行。

您能列出这两种方法的比较吗？

Answer 1

如果您希望代码是可移植的，那么您不能使用原始套接字 API（这在 Linux 和 Windows 上有很大不同）。 Winpcap 通常与 libpcap 兼容，并且考虑到 pcap API 的作用，它通常是合理的。

Answer 2

在你的情况下，原始套接字可以工作，但你必须做类似的事情
sock_raw_tcp = 套接字(AF_INET, SOCK_RAW, IPPROTO_TCP);
sock_raw_udp = 套接字(AF_INET, SOCK_RAW, IPPROTO_UDP);
sock_raw_icmp = socket(AF_INET, SOCK_RAW, IPPROTO_ICMP);

您没有像 IP_PROTO_IP 这样的选项。现在，使用 RAW 套接字，您将仅获得 IP 标头 + 传输级标头，而不是以太网标头。因此，如果您只对应用层数据感兴趣并希望使用 IP 标头作为 Ipaddress & TTL 和端口号等传输头，然后就可以了。请记住，对于 TCP，您可能还必须进行校验和和重组。 UDP 还需要一些校验和。

然而，winpcap 为您解决了许多管理问题，因为它使用设备驱动程序连接 NIC 的数据链路层或第 2 层。在这里您还将获得一个以太网帧，并且不必打开不同类型的 RAW 套接字。您仍然必须像在网络层（第 3 层）上那样应用处理数据包的应用程序相关逻辑。