2 skaitiaozhan skaitiaozhan 于 2016.09.14 15:48 提问

通过SOCK_RAW抓包的问题

小端机器,ip包头定义根据linux内核头文件
#if defined(__LITTLE_ENDIAN_BITFIELD)
unsigned char ihl:4,
version:4;
#elif defined (__BIG_ENDIAN_BITFIELD)
unsigned char version:4, //IP协议的版本号
ihl:4; //IP包头长度

(gdb) x /4tb 0x805dc80
0x805dc80: 01000101 00000000 00000000 00101000
(gdb) c
Continuing.

Breakpoint 9, tcp::Recv (this=0xbffff5b4) at net_tcp.cpp:114
114 if((other_byte = (unsigned int)(Temp->head.ihl)*4) > 20)
(gdb) x /4tb 0x806dce8
0x806dce8: 01000101 00000000 00000000 00101000

0x805dc80和0x806dce8是我ip包存放的内存地址。
可以看到头8位0100 0101,那么0100肯定是版本号,0101是ip包长度。
这很明显是
version低地址,ihl高地址的结构。所以ip包是网络字节序?我解开ip包拿出tcp包,同理去检验,居然发现是小端字节序。请问这是什么道理,内核将tcp包头转换为主机字节序却直接将ip包头用网络字节序传上来?

1个回答

langyano1
langyano1   2016.09.14 16:10

SOCK_RAW封的比较好,更面向使用者

Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!