【IT168技术文档】

  大家注意到了，在上面的函数中，我们使用了指针这种所谓的不安全代码，可见在C#中指针和移位运算这些原始操作也可以给程序员带来编程上的便利。在函数中声明PacketArrivedEventArgs类对象，以便通过OnPacketArrival(e)函数通过事件把数据包信息传递出去。其中 PacketArrivedEventArgs类是RawSocket类中的嵌套类，它继承了系统事件（Event）类，封装了数据包的IP、端口、协议等其他数据包头中包含的信息。在启动接收数据包的函数中，我们使用了异步操作的方法，以下函数开启了异步监听的接口：

public void Run() //开始监听
{
IAsyncResult ar = socket.BeginReceive(receive_buf_bytes, 0,
len_receive_buf, SocketFlags.None, new AsyncCallback(CallReceive), this);
} 

  Socket.BeginReceive函数返回了一个异步操作的接口，并在此接口的生成函数BeginReceive中声明了异步回调函数 CallReceive，并把接收到的网络数据流传给receive_buf_bytes，这样就可用一个带有异步操作的接口参数的异步回调函数不断地接收数据包：

private void CallReceive(IAsyncResult ar)//异步回调 
{
int received_bytes;
received_bytes = socket.EndReceive(ar);
Receive(receive_buf_bytes, received_bytes);
if (KeepRunning) Run();
} 

  此函数当挂起或结束异步读取后去接收一个新的数据包，这样能保证让每一个数据包都能够被程序探测到。
下面通过声明代理事件句柄来实现和外界的通信：

public delegate void PacketArrivedEventHandler(Object sender, PacketArrivedEventArgs args);
//事件句柄：包到达时引发事件 
public event PacketArrivedEventHandler PacketArrival;//声明时间句柄函数

  这样就可以实现对数据包信息的获取，采用异步回调函数，可以提高接收数据包的效率，并通过代理事件把封包信息传递到外界。既然能把所有的封包信息传递出去，就可以实现对数据包的分析了：）不过RawSocket的任务还没有完，最后不要望了关闭套接字啊：

public void Shutdown() //关闭raw socket 
{
if(socket != null)
{
socket.Shutdown(SocketShutdown.Both);
socket.Close();
}
} 

  以上介绍了RawSocket类通过构造IP头获取了包中的信息，并通过异步回调函数实现了数据包的接收，并使用时间代理句柄和自定义的数据包信息事件类把数据包信息发送出去，从而实现了网络数据包的监视，这样我们就可以在外部添加一些函数对数据包进行分析了。