有谁知道原始套接字是什么？-CSDN论坛

⋅上拉电阻怎样理解？ ⋅CPU指令集是什么？和汇编指令有什么联系？ ⋅i-240w-q无源光纤接入设备无法登陆管理界面是什么原因？ 更多帖子 关注私信空间博客 zx4219770 本版专家分：0 结帖率 100%: 最近在想关于ARP数据包的问题，这种封包是一种特殊的数据包，不是用send或sendto发送的那种，突然想到书上提到除了流套接字和数据报套接字外还有一个叫原始套接字的东西，百度了一下貌似是个很强大的东西，但是不知道怎么用，有没有会的大神解答一下原始套接字是怎样一种套接字，要怎么使用，跟常见的流套接字和数据报套接字有什么区别？

0 2014-06-14 04:33:44

回复数 9 只看楼主引用举报楼主

⋅CSDN越来越垃圾 ⋅祝大家元宵节快乐 ⋅可用分兑换功能取消了吗？ 更多帖子 关注私信空间博客 worldy 本版专家分：56256 红花 2015年8月硬件/嵌入开发大版内专家分月排行榜第一 2015年7月 VC/MFC大版内专家分月排行榜第一 2015年5月 VC/MFC大版内专家分月排行榜第一 2015年4月 VC/MFC大版内专家分月排行榜第一 2015年3月 VC/MFC大版内专家分月排行榜第一 2015年1月硬件/嵌入开发大版内专家分月排行榜第一 2013年12月 VC/MFC大版内专家分月排行榜第一 2013年11月 VC/MFC大版内专家分月排行榜第一 2013年6月 VB大版内专家分月排行榜第一 2013年5月 VB大版内专家分月排行榜第一 2013年1月 VB大版内专家分月排行榜第一 2012年12月 VB大版内专家分月排行榜第一 黄花 2015年9月 VC/MFC大版内专家分月排行榜第二 2015年7月硬件/嵌入开发大版内专家分月排行榜第二 2014年5月 VC/MFC大版内专家分月排行榜第二 2014年3月 VC/MFC大版内专家分月排行榜第二 2013年10月 VB大版内专家分月排行榜第二 2013年7月 VB大版内专家分月排行榜第二 2012年5月 VB大版内专家分月排行榜第二 2012年4月 VB大版内专家分月排行榜第二 2012年2月 VB大版内专家分月排行榜第二 2011年11月 VB大版内专家分月排行榜第二 蓝花 2015年11月 VC/MFC大版内专家分月排行榜第三 2015年6月 VC/MFC大版内专家分月排行榜第三 2015年2月 VC/MFC大版内专家分月排行榜第三 2014年1月 VC/MFC大版内专家分月排行榜第三 2012年3月 VB大版内专家分月排行榜第三 2011年12月 VB大版内专家分月排行榜第三 2011年10月 VB大版内专家分月排行榜第三: http://www.360doc.com/content/10/1015/18/2935312_61277341.shtml

0 2014-06-14 09:22:54

只看TA 引用举报 #1 得分 0

⋅上拉电阻怎样理解？ ⋅CPU指令集是什么？和汇编指令有什么联系？ ⋅i-240w-q无源光纤接入设备无法登陆管理界面是什么原因？ 更多帖子 关注私信空间博客 zx4219770 本版专家分：0: 引用 1 楼 worldy 的回复:
http://www.360doc.com/content/10/1015/18/2935312_61277341.shtml

这个我看过，不是很懂他在说什么

0 2014-06-14 12:43:41

只看TA 引用举报 #2 得分 0

⋅mimikatz Skeleton Key模块万能密码的如何参数化 ⋅WINPCAP如何处理TCP重组? ⋅熟悉SGI STL的请进 更多帖子 关注私信空间博客 dibotiger 本版专家分：948: LINUX下的RAW SOCKET可以操作到二层, ARP/IP报文都可以捕获和自己构造.
Windows从2000版本开始支持RAW SOCKET, 但从一开始只支持三层即IP层的报文构造和捕获.

在诸多蠕虫的功劳下, XP SP2后, 微软基本废掉了客户端版本的Windows里RAW SOCKET的构包功能.
而Server版本的Windows系统还保留了大部分的RAW SOCKET功能(好像也加了部分限制).

所以在Windows下, 发送ARP request报文, 你可以直接调用SendARP API来实现.
至于要自己构造ARP其他类型报文, 就别想了, Windows从开始支持RAW SOCKET那刻开始就没有打算这么干.

0 2014-06-14 15:08:33

只看TA 引用举报 #3 得分 0

⋅上拉电阻怎样理解？ ⋅CPU指令集是什么？和汇编指令有什么联系？ ⋅i-240w-q无源光纤接入设备无法登陆管理界面是什么原因？ 更多帖子 关注私信空间博客 zx4219770 本版专家分：0: 引用 3 楼 dibotiger 的回复:
LINUX下的RAW SOCKET可以操作到二层, ARP/IP报文都可以捕获和自己构造.
Windows从2000版本开始支持RAW SOCKET, 但从一开始只支持三层即IP层的报文构造和捕获.

在诸多蠕虫的功劳下, XP SP2后, 微软基本废掉了客户端版本的Windows里RAW SOCKET的构包功能.
而Server版本的Windows系统还保留了大部分的RAW SOCKET功能(好像也加了部分限制).

所以在Windows下, 发送ARP request报文, 你可以直接调用SendARP API来实现.
至于要自己构造ARP其他类型报文, 就别想了, Windows从开始支持RAW SOCKET那刻开始就没有打算这么干.

那要在win7下实现ARP欺骗要怎样实现呢？我在网上下到某个利用ARP欺骗捕获数据包的软件查了一下它的导入表貌似只是使用几个简单的函数，其中就有SendARP和send，但是SendARP只能发送正常的ARP封包啊，按理说第二个参数应该是填入自己的IP，但是只能填NULL，一旦填入IP则函数执行错误，这个函数根本就不能伪造ARP封包嘛，那些软件是怎么做到的？

0 2014-06-14 15:36:37

只看TA 引用举报 #4 得分 0

⋅mimikatz Skeleton Key模块万能密码的如何参数化 ⋅WINPCAP如何处理TCP重组? ⋅熟悉SGI STL的请进 更多帖子 关注私信空间博客 dibotiger 本版专家分：948: 引用 4 楼 zx4219770 的回复:
Quote: 引用 3 楼 dibotiger 的回复:

LINUX下的RAW SOCKET可以操作到二层, ARP/IP报文都可以捕获和自己构造.
Windows从2000版本开始支持RAW SOCKET, 但从一开始只支持三层即IP层的报文构造和捕获.

在诸多蠕虫的功劳下, XP SP2后, 微软基本废掉了客户端版本的Windows里RAW SOCKET的构包功能.
而Server版本的Windows系统还保留了大部分的RAW SOCKET功能(好像也加了部分限制).

所以在Windows下, 发送ARP request报文, 你可以直接调用SendARP API来实现.
至于要自己构造ARP其他类型报文, 就别想了, Windows从开始支持RAW SOCKET那刻开始就没有打算这么干.

那要在win7下实现ARP欺骗要怎样实现呢？我在网上下到某个利用ARP欺骗捕获数据包的软件查了一下它的导入表貌似只是使用几个简单的函数，其中就有SendARP和send，但是SendARP只能发送正常的ARP封包啊，按理说第二个参数应该是填入自己的IP，但是只能填NULL，一旦填入IP则函数执行错误，这个函数根本就不能伪造ARP封包嘛，那些软件是怎么做到的？

两种:

1. 第三方驱动, 比如地球人都知道的WINPCAP.

2. 自己挂NDIS的驱动实现. 我估计你遇到的就是这个. WINPCAP无非也是如此.

比如:
http://www.pudn.com/downloads164/sourcecode/hack/sniffer/detail747255.html

0 2014-06-16 12:29:21

只看TA 引用举报 #6 得分 0

⋅上拉电阻怎样理解？ ⋅CPU指令集是什么？和汇编指令有什么联系？ ⋅i-240w-q无源光纤接入设备无法登陆管理界面是什么原因？ 更多帖子 关注私信空间博客 zx4219770 本版专家分：0: 引用 6 楼 dibotiger 的回复:
Quote: 引用 4 楼 zx4219770 的回复:

Quote: 引用 3 楼 dibotiger 的回复:

LINUX下的RAW SOCKET可以操作到二层, ARP/IP报文都可以捕获和自己构造.
Windows从2000版本开始支持RAW SOCKET, 但从一开始只支持三层即IP层的报文构造和捕获.

在诸多蠕虫的功劳下, XP SP2后, 微软基本废掉了客户端版本的Windows里RAW SOCKET的构包功能.
而Server版本的Windows系统还保留了大部分的RAW SOCKET功能(好像也加了部分限制).

所以在Windows下, 发送ARP request报文, 你可以直接调用SendARP API来实现.
至于要自己构造ARP其他类型报文, 就别想了, Windows从开始支持RAW SOCKET那刻开始就没有打算这么干.

那要在win7下实现ARP欺骗要怎样实现呢？我在网上下到某个利用ARP欺骗捕获数据包的软件查了一下它的导入表貌似只是使用几个简单的函数，其中就有SendARP和send，但是SendARP只能发送正常的ARP封包啊，按理说第二个参数应该是填入自己的IP，但是只能填NULL，一旦填入IP则函数执行错误，这个函数根本就不能伪造ARP封包嘛，那些软件是怎么做到的？

两种:

1. 第三方驱动, 比如地球人都知道的WINPCAP.

2. 自己挂NDIS的驱动实现. 我估计你遇到的就是这个. WINPCAP无非也是如此.

比如:
http://www.pudn.com/downloads164/sourcecode/hack/sniffer/detail747255.html

我觉得该软件并没有使用内核的方式实现，至于使用类似于WINPCAP这样的第三方模块那么移植并没有那么好，因为不是所有的电脑上都安装有这些模块供程序调用的，而且这个软件就一个单一的可执行文件，并没有附带什么链接库或者.sys文件，但是这个软件却可以仅仅复制一个.exe文件到别的系统就能完美运行，该程序有两个模式，第一个是普通模式，第二种是你说的使用第三方驱动，下面附程序的有关截图

0 2014-06-16 19:55:06

只看TA 引用举报 #7 得分 0

⋅上拉电阻怎样理解？ ⋅CPU指令集是什么？和汇编指令有什么联系？ ⋅i-240w-q无源光纤接入设备无法登陆管理界面是什么原因？ 更多帖子 关注私信空间博客 zx4219770 本版专家分：0: 引用 6 楼 dibotiger 的回复:
Quote: 引用 4 楼 zx4219770 的回复:

Quote: 引用 3 楼 dibotiger 的回复:

LINUX下的RAW SOCKET可以操作到二层, ARP/IP报文都可以捕获和自己构造.
Windows从2000版本开始支持RAW SOCKET, 但从一开始只支持三层即IP层的报文构造和捕获.

在诸多蠕虫的功劳下, XP SP2后, 微软基本废掉了客户端版本的Windows里RAW SOCKET的构包功能.
而Server版本的Windows系统还保留了大部分的RAW SOCKET功能(好像也加了部分限制).

所以在Windows下, 发送ARP request报文, 你可以直接调用SendARP API来实现.
至于要自己构造ARP其他类型报文, 就别想了, Windows从开始支持RAW SOCKET那刻开始就没有打算这么干.

那要在win7下实现ARP欺骗要怎样实现呢？我在网上下到某个利用ARP欺骗捕获数据包的软件查了一下它的导入表貌似只是使用几个简单的函数，其中就有SendARP和send，但是SendARP只能发送正常的ARP封包啊，按理说第二个参数应该是填入自己的IP，但是只能填NULL，一旦填入IP则函数执行错误，这个函数根本就不能伪造ARP封包嘛，那些软件是怎么做到的？

两种:

1. 第三方驱动, 比如地球人都知道的WINPCAP.

2. 自己挂NDIS的驱动实现. 我估计你遇到的就是这个. WINPCAP无非也是如此.

比如:
http://www.pudn.com/downloads164/sourcecode/hack/sniffer/detail747255.html

0 2014-06-16 19:56:35

只看TA 引用举报 #8 得分 0

⋅mimikatz Skeleton Key模块万能密码的如何参数化 ⋅WINPCAP如何处理TCP重组? ⋅熟悉SGI STL的请进 更多帖子 关注私信空间博客 dibotiger 本版专家分：948: 不排除有未知的技术, 但可以确认的是Windows下的RAW SOCKET是没法直接操作ARP报文的.

搭个环境, 加点ARK软件, 检测下这个软件运行时:

1. 是否释放出SYS安装.
2. 是否有HOOK某些API的行为.

0 2014-06-17 12:17:51

只看TA 引用举报 #9 得分 50

有谁知道原始套接字是什么？ [问题点数：50分，结帖人zx4219770]