Linux raw socket
==========================================
1. 为什么要详细了解raw socket呢?
其实很早以前就对原始套接字有了一定的了解,那时候还做过一个小的抓包程序,当时以为对原始套接字很熟悉了,但是最近在看nmap的时候被其中的一句话给整迷糊了。
在《Nmap Network Discovery III》的SYN scan章节中文中提到通过raw socket构造一个SYN包发给目标端口以后,如果目标端口发回了SYN/ACK包,那么此时nmap直接发送一个RST包来快速关闭此次连接,接着来了一句”其实你都不需要自己发送RST包,因为发送的SYN包是nmap手动构造的,所以kernel收到了不在期望内的数据包,kernel会直接发送RST包”。
卧槽!这句话当时思考了半小时也没有搞明白了,这跟我之前对raw socket的了解太不一样了,难道raw socket就不经过协议栈啦?难道raw socket也就能发送一个包?
觉得有必要把这个问题搞清楚了,所以就开始网上、书本开始重新了解raw socket。
2. 原始套接字的protocol
我们知道PF_INET协议族支持的protocol参数有很多个,在一般的socket编程中我们习惯使用socket(PF_INET, SOCK_STREAM, 0)来新建TCP的套接字,这个问题在前面的文章《socket的三个参数(family、type、protocol)解析》中已经提到过了,那么在新建原始套接字的时候可以用socket(PF_INET, SOCK_RAW, 0)吗?
答案是不能!如果socket(PF_INET, SOCK_RAW, 0)来新建原始套接字会返回错误”- EPROTONOSUPPORT”,我们从内核新建套接字函数inet_create中可以找到答案:
list_for_each_entry_rcu(answer, &inetsw[sock->type], list) {
err = 0;
/* Check the non-wild match. */
if (protocol == answer->protocol) {
if (protocol != IPPROTO_IP)
break;
} else {
/* Check for the two wild cases. */
if (IPPROTO_IP == protocol) {
protocol = answer->protocol;
break;
}
if (IPPROTO_IP == answer->protocol)
break;
}
err = -EPROTONOSUPPORT;
}