从混杂模式网络设备中读取数据

在Linux中，您可以使用PF_PACKET套接字从原始设备（例如以混杂模式运行的以太网接口）读取数据：

s = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))

这将向您的套接字发送接收到的每个数据包的副本。但是，您很可能并不需要每个数据包。内核可以使用BPF（Berkeley Packet Filter）执行第一级过滤。BPF本质上是一个基于堆栈的虚拟机：它处理一小组指令，例如：

ldh = load halfword (from packet)  
jeq = jump if equal  
ret = return with exit code  

BPF的退出代码告诉内核是否将数据包复制到套接字。可以直接编写相对简短的BPF程序，使用setsockopt(s, SOL_SOCKET, SO_ATTACH_FILTER)。 （警告：内核使用struct sock_fprog而不是struct bpf_program，请勿混淆，否则您的程序将无法在某些平台上运行）。
对于任何相当复杂的内容，确实需要使用libpcap。BPF在其所能执行的每个包含指令数量方面都有限制。 libpcap 将处理将复杂过滤器拆分为两个部分，其中内核执行第一级过滤，更有能力的用户空间代码删除未实际想要查看的数据包。 libpcap还将内核接口从应用程序代码中抽象出来。 Linux和BSD使用类似的API，但Solaris需要DLPI，而Windows使用其他东西。

我曾经需要监听原始以太网帧，最终创建了一个包装器。通过使用设备名称（例如eth0）调用函数，我得到了一个处于混杂模式的套接字。

您需要做的是创建一个原始套接字，然后将其置于混杂模式。这是我的做法：

int raw_init (const char *device)
{
    struct ifreq ifr;
    int raw_socket;

    memset (&ifr, 0, sizeof (struct ifreq));

    /* Open A Raw Socket */
    if ((raw_socket = socket (PF_PACKET, SOCK_RAW, htons (ETH_P_ALL))) < 1)
    {
        printf ("ERROR: Could not open socket, Got #?\n");
        exit (1);
    }

    /* Set the device to use */
    strcpy (ifr.ifr_name, device);

    /* Get the current flags that the device might have */
    if (ioctl (raw_socket, SIOCGIFFLAGS, &ifr) == -1)
    {
        perror ("Error: Could not retrive the flags from the device.\n");
        exit (1);
    }

    /* Set the old flags plus the IFF_PROMISC flag */
    ifr.ifr_flags |= IFF_PROMISC;
    if (ioctl (raw_socket, SIOCSIFFLAGS, &ifr) == -1)
    {
        perror ("Error: Could not set flag IFF_PROMISC");
        exit (1);
    }
    printf ("Entering promiscuous mode\n");

    /* Configure the device */

    if (ioctl (raw_socket, SIOCGIFINDEX, &ifr) < 0)
    {
        perror ("Error: Error getting the device index.\n");
        exit (1);
    }

    return raw_socket;
}

今日免费次数已满, 请开通会员/明日再来

你可以使用pcap库（见http://www.tcpdump.org/pcap.htm），该库也被tcpdump和Wireshark使用。

在Linux上，WireShark具有捕获PLCP（物理层汇聚协议）头信息的能力。

为什么不使用类似WireShark这样的工具呢？

它是开源的，所以即使你不想直接使用它，至少你可以从中学到一些东西。