目前大多數作業系統都為應用程式提供訪問資料鏈路層的強大功能。這種功能可以提供如下能力：能夠監視由資料鏈路層接收的分組，使得諸如（tcpdump）等程式能夠在普通計算機系統上執行，而無需專門的硬體裝置來監視分組。如果結合使用網路介面 進入混雜模式（promiscuous mode）的能力，那麼應用程式設定能夠監視本地電纜上流通的所有分組，而不僅僅以程式執行所在主機為目的地的分組。能夠作為普遍應用程序而不是核心的一部分執行某些程式。比如RARP伺服器的大多數UNIX版本是普通的應用程序，它們從資料鏈路讀入RARP請求，又往資料鏈路寫出RARP應答。（RARP請求和應答都不是IP資料報）UNIX上訪問資料鏈路層的3個常用方法是BSD的分組過濾器BPF，SVR4的資料鏈路提供者介面DLPI和LINUX的SOCK_PACKET介面。函式庫libpcap適用於所有這三個介面，使用它可以編寫獨立於作業系統提供的實際資料鏈路訪問介面的程式。BPF：在支援BPF的系統上，每個資料鏈路驅動程式就在傳送一個分組之前或在接收一個分組之後呼叫BPF。儘管往資料鏈路中安置一個用於捕獲所有分組的“龍頭” 並不困難，BFP的強大威力在於它的過濾能力。開啟一個BPF裝置的每個應用程序可以裝載各自的過濾器，這個過濾器然後由BPF應用於每個分組。更復雜的 過濾器可以檢查分組頭部某些欄位是否為特定值。BPF使用以下3個技術來降低開銷：    1 BPF過濾在核心中進行，以此把從BPF到應用程序的資料拷貝量減到最小。這種從核心空間到使用者空間的拷貝開銷高昂。要是每個分組都如此拷貝，BPF可能就跟不上快速的資料鏈路。    2 由BPF傳遞到應用程序的只是每個分組的一段定長部分。這個長度成為捕獲長度（capture length），也稱為快照長度（snapshot length簡寫為snaplen）。大多數應用程序只需要分組頭部而不需要分組資料。這個技術同樣減少了由BPF拷貝到應用程序的資料量。    3 BPF為每個應用程序分別緩衝資料，只有當緩衝區已滿或讀超時（read timeout）期滿時該緩衝區中的資料才拷貝到應用程序。該超時值可由應用程序指定。============================================================================================================================================================             LINUX ： SOCK_PACKET和PF_PACKETLINUX先後有兩個從資料 鏈路層接收分組的方法。較舊的方法是建立SOCK_PACKET的套介面，這個方法的可用面較寬，不過缺乏靈活性。較新的方法是建立協議族為 PF_PACKET的套介面，這個方法引入了更多的過濾和效能特性。我們必須有足夠的許可權才能建立這兩種套介面（類似原始套介面的建立）。而且呼叫 socket的第三個引數必須是指定乙太網幀型別的某個非0值。建立PF_PACKET套介面時，呼叫socket的第二個引數既可以是 SOCK_DGRAM，表示扣除鏈路層頭部的“煮熟”（cooked）分組，也可以是SOCK_RAW表示“未煮”（raw）的完整鏈路層分組（乙太網 幀）。SOCK_PACKET套介面只返回乙太網幀。舉例來說，從資料鏈路層接收所有幀應如下建立套介面：fd = socket( AF_PACKET, SOCK_RAW, htons(ETH_P_ALL) );   //較新方法 然後就可以對起fd進行讀寫來查詢幀的資訊或fd = socket( AF_INET, SOCK_PACKET, htons(ETH_P_ALL) ); //較舊方法由資料鏈路層接收的任何協議乙太網幀將返回到這些套介面。如果只想捕獲IPv4幀，那就如下建立套介面：fd = socket( PF_PACKET, SOCK_RAW, htons(ETH_P_IP) ); //較新方法或fd = socket( AF_INET, SOCK_PACKET, htons(ETH_P_IP) ); //較舊方法用作socket呼叫的第三個引數的常值還有ETH_P_ARP, ETH_P_IPV6等等。指定這個協議的引數為某個ETH_P_xxx常值是在告知資料鏈路層應該把由它接收的幀中哪些型別的幀傳遞給所建立的套介面。如果資料鏈路層支援混雜模式，那麼需要的話還必須把裝置投入混雜模式。對於PF_PACKET套介面，把一個網路介面投入混雜模式通過設定PACKET_ADD_MEMBERSHIP套介面選項完成，在作為setsockopt第四個引數傳遞的packet_mreq結構中需指定網路介面和值為PACKET_MR_PROMISC的行為。對於SOCK_PACKET套介面，投入混雜模式通過使用SIOCGIFFLAGS ioctl獲取標誌，邏輯或上IFF_PROMISC標誌位，再使用SIOCSIFFLAGS ioctl設定標誌完成。linux上的資料鏈路層訪問方法相比BPF和DLPI存在如下差別：linux方法不提供核心緩衝，而且只有較新的方法才能提供核心過濾（通過設定SO_ATTACH_FILTER套介面選項安裝）。儘管這些套介面有普通 的套介面接收緩衝區，但是多個幀不能緩衝在一起由單個讀入操作由單個讀入操作一次性的傳遞給應用程序。這麼依賴勢必增長從核心到應用程序拷貝大量資料所設 計的開銷。linux較舊的方法不提供針對裝置的過濾。（較新的方法可以通過呼叫bind與某個裝置關聯）。如果呼叫socket時指定了ETH_P_IP,那麼來 自任何裝置（例如乙太網，ppp鏈路，SLIP鏈路和回饋裝置）的所有IPv4分組都被傳遞到所建立的套介面。recvfrom將返回一個通用套介面地址 結構，其中的sa_data成員含有裝置名字（例如eth0）。應用程序然後必須自行丟棄來自任何非所關注裝置的資料。這裡的問題仍然是可能會有太多的數 據返回給應用程序，從而妨礙對於告訴網路的監視。============================================================================================================================================================libpcap：分組捕獲函式庫libpcap是一個與實現無關的訪問作業系統所提供的分組捕獲機制的分組捕獲函式庫。該函式庫可以從http://www.tcpdump.org獲取。============================================================================================================================================================libnet：分組構造與輸出函式庫libnet函式提供構造任意協議的分組並輸出到網路中的介面。它以與實現無關的方式提供原始套介面訪問方式和資料鏈路層訪問方式。libnet隱藏了構造IP，UDP和TCP頭部的許多細節，並提供了簡單且便於移植的資料鏈路層和原始套介面的寫出訪問介面。libnet函式庫可以從http://www.packetfactory.net/libnet獲取。linux中的一些協議頭定義：在/usr/include/netinet/目錄下有很多./usr/include/linux/if_ether.h#define ETH_ALEN 6            //Octets in one ethernet addr#define ETH_HLEN    14    //total octets in header#define ETH_ZLEN    60    // Min. octets in frame sans FCS#define ETH_DATA_LEN    1500 // Max. octets in payload#define ETH_DATA_LEN    1514 // Max. octets in fram sans FCSstruct ethhdr{    unsigned char h_dest[ETH_ALEN];    unsigned char h_source[ETH_ALEN];    unsigned short h_proto;};IP:struct iphdr:/usr/include/netinet/ip.hstruct tcphdr :/usr/include/netinet/tcp.h