通常情況下程序員接所接觸到的套接字(Socket)為兩類:
(1)流式套接字(SOCK_STREAM):一種面向連接的 Socket,針對於面向連接的TCP 服務應用;
(2)數據報式套接字(SOCK_DGRAM):一種無連接的 Socket,對應於無連接的 UDP 服務應用。
從用戶的角度來看,SOCK_STREAM、SOCK_DGRAM 這兩類套接字似乎的確涵蓋了 TCP/IP 應用的全部,因為基於 TCP/IP 的應用,從協議棧的層次上講,在傳輸層的確只可能建立於 TCP 或 UDP 協議之上,而 SOCK_STREAM、SOCK_DGRAM 又分別對應於 TCP 和 UDP,所以幾乎所有的應用都可以用這兩類套接字實現。
但是,當我們面對如下問題時,SOCK_STREAM、SOCK_DGRAM 將顯得這樣無助:
(1)怎樣發送一個自定義的 IP 包?
(2)怎樣發送一個 ICMP 協議包?
(3)怎樣分析所有經過網絡的包,而不管這樣包是否是發給自己的?
(4)怎樣偽裝本地的 IP 地址?
這使得我們必須面對另外一個深刻的主題——原始套接字(SOCK_RAW)。原始套接字廣泛應用於高級網絡編程,也是一種廣泛的黑客手段。著名的網絡sniffer(一種基於被動偵聽原理的網絡分析方式)、拒絕服務攻擊(DOS)、IP 欺騙等都可以通過原始套接字實現。
原始套接字(SOCK_RAW)可以用來自行組裝數據包,可以接收本機網卡上所有的數據幀(數據包),對於監聽網絡流量和分析網絡數據很有作用。
原始套接字是基於 IP 數據包的編程(SOCK_PACKET 是基於數據鏈路層的編程)。另外,必須在管理員權限下才能使用原始套接字。
原始套接字(SOCK_RAW)與標准套接字(SOCK_STREAM、SOCK_DGRAM)的區別在於原始套接字直接置“根”於操作系統網絡核心(Network Core),而 SOCK_STREAM、SOCK_DGRAM 則“懸浮”於 TCP 和 UDP 協議的外圍。
流式套接字只能收發 TCP 協議的數據,數據報套接字只能收發 UDP 協議的數據,原始套接字可以收發內核沒有處理的數據包。