本文主要来自于linux自带的man packet手冊：

http://man7.org/linux/man-pages/man7/packet.7.html

平时常常使用的INET套接字提供的是7层的抓包能力，抓上来的data直接就是tcp或者udp的payload，无需关心L3和L4的头部信息。

Packet套接字提供的是L2的抓包能力，也叫raw socket，意思就是不经过操作系统tcp/ip协议栈处理的packet，抓上来的包须要自己处理tcp/ip的头部信息。

眼下使用packet套接字的主要有libpcap，netsniff-ng，hostapd（hostapd是一个用户层的无线AP管理程序）。

linux提供了的packet 套接字函数API例如以下：

#include 
     
             #include 
      
              #include 
       
         /* the L2 protocols */       packet_socket = socket(AF_PACKET, int socket_type, int protocol);
       
      
     

socket_type有SOCK_RAW 和 SOCK_DGRAM，这两个的主要差别是2层的头部处理。

假设指定SOCK_RAW, 那么我们得到的数据包括全部的L2 header和payload，

假设指定SOCK_DGRAM, 那么我们收到的数据会去掉L2的header，是IP header和payload。

二层的头部信息会放到一个通用的struct sockaddr_ll结构体中。

protocol主要是<linux/if_ether.h>中定义的协议类型，我们能够指定ETH_P_IP来抓取IP  packet，ETH_P_ARP 来抓取ARP的packet，普通情况下我们能够指定ETH_P_ALL来抓取全部类  型的packet。

注意：传入參数的时候应该转化成网络字节序htons(ETH_P_ALL)。

sockaddr_ll结构体用来表似乎一个设备独立的物理层地址信息，定义例如以下：

struct sockaddr_ll {               unsigned short sll_family;   /* Always AF_PACKET */               unsigned short sll_protocol; /* Physical layer protocol */               int            sll_ifindex;  /* Interface number */               unsigned short sll_hatype;   /* ARP hardware type */               unsigned char  sll_pkttype;  /* Packet type */               unsigned char  sll_halen;    /* Length of address */               unsigned char  sll_addr[8];  /* Physical layer address */           };

每一个域的定义例如以下：

sll_family:  总是AF_PACKET

ssll_protocol: <linux/if_ether.h>中定义的那些协议类型，也就是我们传给socket的第二个參    数，注意是网络序。

sll_ifindex: 内核中网卡的index，定义在ifreq结构体中，能够參考以下的链接：

http://man7.org/linux/man-pages/man7/netdevice.7.html

if_nametoindex()函数提供了从网卡名到index的转换，后面的演示样例代码中会用到这个函数。如

果man找不到这个函数使用方法，那么须要安装 manpages-posix-dev 。

sll_hatype: ARP硬件类型，在头文件<linux/if_arp.h>中定义，比方ARPHRD_ETHER表示

10Mbps 的Ethernet网卡类型。内核使用ARPHDR_XXX来表示网卡类型。

sll_pkttype: 表示当前接收的数据包的类型，主要有以下几种合法的值：

PACKET_HOST 发送给当前主机的包,       PACKET_BROADCAST 广播数据包,       PACKET_MULTICAST 多播数据包       PACKET_OTHERHOST 因为网卡设置了混杂模式收到的发送给别的主机的包       PACKET_OUTGOING 从本机发出的，不小心loopback到当前socket了       这些类型仅仅有接收的时候才有意义。

sll_halen: 表示当前mac地址的长度

sll_addr: 存储当前的mac地址

发送数据包的时候仅仅要设置以下几个域就足够了：

sll_family, sll_addr, sll_halen, sll_ifindex. 其余的都应该设置为0

sll_hatype 和 sll_pkttype在接收数据包的时候会被设置为当前数据包的信息。

对于bind()函数来说，仅仅有sll_protocol 和 sll_ifindex会被用到。

本文兴许系列packet socket 选项以及mmap相关都在个人的独立blog上：

欢迎訪问！