1.两者实现的区别
用 Raw Socket 实现 Sniffer 的方法，实现起来比较简单，但有个缺点就是只能截获 IP 层以上的包，数据包头不含帧信息。但是相对于来说实现起来会比较简单。使用的话就见仁见智了，根据自己的需要去选择即可。

2.Raw Socket
操作环境：vs2005 其他的环境下代码有可能需要改动

#include <stdio.h>  
#include <winsock2.h>  
#include <ws2tcpip.h>  
#include "fstream"
#include <iostream>
using namespace std;
#pragma comment (lib,"ws2_32.lib")  
#define SIO_RCVALL _WSAIOW(IOC_VENDOR,1)  
#define IP_HDRINCL 2 struct IPHEAD  
{  unsigned char h_len:4;//4位首部长度+4位IP版本号  unsigned char ver:4;  unsigned char tos;//8位服务类型TOS  unsigned short total_len;//16位总长度（字节）  unsigned short ident;//16位标识  unsigned short frag_and_flags;//3位标志位  unsigned char ttl;//8位生存时间 TTL  unsigned char proto;//8位协议 (TCP, UDP 或其他)  unsigned short checksum;//16位IP首部校验和  unsigned int sourceip;//32位源IP地址  unsigned int destip;//32位目的IP地址  
};  struct TCPHEAD //定义TCP首部  
{  USHORT th_sport; //16位源端口  USHORT th_dport; //16位目的端口  unsigned int th_seq; //32位序列号  unsigned int th_ack; //32位确认号  unsigned char th_lenres; //4位首部长度/6位保留字  unsigned char th_flag; //6位标志位  USHORT th_win; //16位窗口大小  USHORT th_sum; //16位校验和  USHORT th_urp; //16位紧急数据偏移量  
};  char *phostlist[10];//列举主机网卡的数组  DWORD _stdcall listen(void *p)  
{  SOCKET s;  struct sockaddr_in addr;  int itimeout=10000;  int ret;  BOOL flag; char cbuf[1500];//接收数据缓冲区  struct IPHEAD *piphd;//定义IP头结构  struct TCPHEAD *ptcphd;//定义TCP头结构  s=socket(AF_INET,SOCK_RAW,IPPROTO_IP); //创建一个原始套接字  if (s == INVALID_SOCKET){printf("创建原始套接字失败\n");system("pause");}//设置 IP 头操作选项setsockopt(s,IPPROTO_IP,IP_HDRINCL,(char*)&flag,sizeof(flag)); memset(&addr,0,sizeof(addr));  addr.sin_family=AF_INET;  addr.sin_addr.S_un.S_addr=inet_addr((char *)p);  addr.sin_port=htons(6000);//设置本地端口号  bind(s,(struct sockaddr *)&addr,sizeof(addr));//绑定端口  //设置sock_raw为sio_rcvall,以便接收所有IP包  DWORD dwin=1;  ioctlsocket(s,SIO_RCVALL,&dwin);   for(;;)  {  memset(cbuf,0,sizeof(cbuf));ret=recv(s,cbuf,sizeof(cbuf),0);//接收数据  if(ret==SOCKET_ERROR)  {  if(WSAGetLastError()==WSAETIMEDOUT)continue;  closesocket(s);  return 0;  }  piphd=(struct IPHEAD *)cbuf;//取得IP头数据的地址  int iIphLen = sizeof(unsigned long) * (piphd->h_len  & 0xf);  ptcphd=(struct TCPHEAD *)(cbuf+iIphLen);//取得TCP头数据的地址  printf("From : %s \t port %d\t",inet_ntoa(*(struct in_addr*)&piphd->sourceip),ntohs(ptcphd->th_sport) );  printf("To : %s \t port %d  ",inet_ntoa(*(struct in_addr*)&piphd->destip),ntohs(ptcphd->th_dport)); switch(piphd->proto)//根据IP头的协议判断数据包协议类型  {  case 1:  printf("ICMP\n");  break;  case 2:  printf("IGMP\n");  break;  case 6:  printf("TCP\n");  break;  case 17:  printf("UDP\n");  break;  default:  printf("unknow:%d\n",piphd->proto);  }  }  return 1;  
}  int main()  
{  //初始化sock  WSADATA wsa;  int i=0;  DWORD dwtid;  char chname[128];  hostent *host;  WSAStartup(MAKEWORD(2,2),&wsa);  gethostname(chname,sizeof(chname));  host=gethostbyname(chname);  while(host->h_addr_list[i]!=NULL)//取所有网卡序号，为每个网卡开启一个监听线程  {  phostlist[i]=(char *)malloc(16);  sprintf(phostlist[i],"%s",inet_ntoa(*(struct in_addr *)host->h_addr_list[i]));  printf("Bind to %s\n",phostlist[i]);  CreateThread(NULL,0,listen,phostlist[i],0,&dwtid); //用于定义新线程的安全属性，一般设置成NULL  分配以字节数表示的线程堆栈的大小，默认值是0； 返回新创建的线程的ID编号 i++;  }  for(;;)//为每个网卡创建监听线程后要用一个循环防止主线程退出  {  Sleep(10);  }  
}  

主要函数：

int setsockopt(int sockfd,int level,int optname,const void *optval,socklen_t *optlen)
setsockopt(s,IPPROTO_IP,IP_HDRINCL,(char*)&flag,sizeof(flag));

设置套接字的选项。具体的可以看这个博文https://www.cnblogs.com/eeexu123/p/5275783.html
本程序设置SockRaw这个套接字的ip选项中的IP_HDRINCL即在数据包中包含IP首部。

int ioctlsocket( SOCKET s, long cmd, u_long FAR *argp );
s：一个标识套接口的描述字。
cmd：对套接口s的操作命令。
argp：指向cmd命令所带参数的指针。
即设置sock_raw为sio_rcvall,以便接收所有IP包

3.winpcap
关于这个的代码到处都是，我也是直接在网上粘了一段，稍微改了一下。
1）配置环境
参考自：https://blog.csdn.net/gk405128494/article/details/39314467
1．到http://www.winpcap.org/install/default.htm下载winpcap的安装包，然后到http://www.winpcap.org/devel.htm程序员开发包。
2．执行安装包，这样你的机子就能运行winpcap程序了。
3．解压开发包，在VC6.0的Tools–>Option–>Directories的Include fils 和library files加入winpcap的include和lib目录。
4．开始编写wpcap程序。

vs2005:
第一步：下载WinPcap的安装包；有不同操作系统环境下的包，我下的是win32版本的。下载地址：www.winpcap.org；最新的Release版本是4.0.1的，最高的版本一般是Beta的。这个安装包主要是注册一个wpcap.dll的库到操作系统中。必须安装，如果不安装，在运行例子的时候会弹出窗口提示，找不到wpcap.dll文件；
第二步：到上面的网站下载它的开发包，包括一些头文件和库文件；解压到自己指定的目录中；目录中还有HTML格式的说明文档，用于自己学习比较方便；
第三步：设置VS2005；1）设置环境目录；在菜单：工具->选项；弹出的选项窗体左边点击：项目和解决方案->VC++目录；在右边：“显示以下内容的目录”标签下面的下拉框中找到“包含文件”，然后对应到第二步下载开发包的Include目录；在同一下拉框中找到“库文件”，然后对应到第二步下载开发包的lib目录；2）设置编译条件；在项目属性页中：配置属性->C/C++->预处理器->预处理器定义，增加;WPCAP;HAVE_REMOTE;每一个预定义符用”;”隔开；在项目属性页中：配置属性->链接器->命令行->附加选项对应的文本框中增加：“wpcap.lib ws2_32.lib”；

第四步：非必要步骤；有的时候可能会有些意外错误；比如找不到u_char类型等；我的解决办法是加上

这里写代码片

#ifndef WIN32
#include <sys/socket.h>
#include <netinet/in.h>
#else
#include <winsock.h>
#endif

2）代码段：
参考自：http://doc.okbase.net/29062706/archive/10224.html
正则表达式在设置时一定要注意

#define WIN32
#include <pcap.h>
#include <WinSock.h>
#ifndef WIN32
  #include<sys/socket.h>
  #include<netinet/in.h>
#else
  #include<WinSock.h>
#endif#pragma comment(lib, "wpcap.lib")
/* 4 字节IP地址 */
typedef struct ip_address
{u_char byte1;u_char byte2;u_char byte3;u_char byte4;
}ip_address;/*
// IP包如下所示，请参见 RFC791.
0                   1                   2                   3   
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version|  IHL  |Type of Service|          Total Length         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|         Identification        |Flags|      Fragment Offset    |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  Time to Live |    Protocol   |         Header Checksum       |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                       Source Address                          |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                    Destination Address                        |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                    Options                    |    Padding    |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
*//* IPv4 头 */
typedef struct ip_header
{u_char      ver_ihl;            //4位首部长度,4位IP版本号 u_char      tos;                    //8位服务类型TOS u_short          tlen;              //16位总长度（字节） u_short          identification;        //16位标识 u_short          flags_fo;          //3位标志位,13位偏移u_char      ttl;                    //8位生存时间 TTL u_char        proto;                //8位协议 (TCP, UDP 或其他) u_short          crc;                   //16位IP首部校验和 ip_address  saddr;              //32位源IP地址 ip_address  daddr;              //32位目的IP地址u_int       op_pad;             //32位选项
}ip_header;/*
// TCP包如下所示，请参见 RFC793.
0                   1                   2                   3   
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|          Source Port          |       Destination Port        |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                        Sequence Number                        |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                    Acknowledgment Number                      |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  Data |           |U|A|P|R|S|F|                               |
| Offset| Reserved  |R|C|S|S|Y|I|            Window             |
|       |           |G|K|H|T|N|N|                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|           Checksum            |         Urgent Pointer        |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                    Options                    |    Padding    |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                             data                              |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
*/
//定义TCP首部
typedef struct tcp_header 
{u_short         sport;      //16位源端口 u_short         dport;      //16位目的端口 u_int           seq;            //32位序列号 u_int           ack;            //32位确认号 u_char          lenres;     //4位首部长度/6位保留字 u_char          flag;       //6位标志位 u_short         win;            //16位窗口大小 u_short          sum;           //16位校验和 u_short         urp;            //16位紧急数据偏移量u_int           op_pad;     //32位选项
}tcp_header;/*
// UDP包如下所示，请参见 RFC768.
0      7 8     15 16    23 24    31  
+--------+--------+--------+--------+ 
|     Source      |   Destination   | 
|      Port       |      Port       | 
+--------+--------+--------+--------+ 
|                 |                 | 
|     Length      |    Checksum     | 
+--------+--------+--------+--------+ 
|                                     
|          data octets ...            
+---------------- ...                 
*//* UDP header */
typedef struct udp_header
{u_short sport;      //16位源端口u_short dport;      //16位目的端口u_short len;        //16位长度 u_short crc;        //16位校验和
}udp_header;// sniffer.c : 定义控制台应用程序的入口点。
int main(int argc, char **argv)
{pcap_if_t* alldevs;
    pcap_if_t* d;
    int inum;
    int i = 0;
    pcap_t* fp;
    char *ofilename = "sniffer.txt";
    char errbuf[PCAP_ERRBUF_SIZE];//存储错误信息    u_int netmask;//掩码
    int res;
    struct pcap_pkthdr *header;
    const u_char *pkt_data;    char packet_filter[] = "tcp or udp";
    pcap_dumper_t *dumpfile;
    struct bpf_program fcode;    ip_header* ih;
    tcp_header* th;
    udp_header* uh;
    u_int ip_len;
    u_short sport, dport;    // 获得网络设备指针
    if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, &alldevs, errbuf) == -1)
    {
        fprintf(stderr, "pcap_findalldevs出错: %s\n", errbuf);
        exit(1);
    }    // 枚举网卡信息,首地址
    for (d = alldevs; d; d = d->next)
    {
        printf("%d. %s", ++ i, d->name);
        if (d->description)
        {
            printf(" (%s)\n", d->description);
        }
        else

    {printf(" (无描述信息)\n");}
}if (i == 0)
{printf("\n没发现任何接口，请确认是否已经安装WinPcap库.\n");return -1;
}printf("请输入网卡接口号 (1 - %d):", i);
scanf("%d", &inum);if (inum < 1 || inum > i)
{printf("\n接口号超出范围.\n");// 释放alldevs资源pcap_freealldevs(alldevs);return -1;
}// 跳到选择的网卡
for(d=alldevs, i=0; i< inum-1 ;d=d->next, i++);// 打开网卡
if ((fp = pcap_open(d->name,    // 设备名称
65536,     
PCAP_OPENFLAG_PROMISCUOUS,      // 混杂模式
1000,                       // 读取超时时间
NULL,                       // 远程认证，本程序因是本地嗅探，不需要设置
errbuf     
)) == NULL)
{fprintf(stderr, "\nUnable to open the adapter. %s is not supported by Winpcap\n");// 释放alldevs资源pcap_freealldevs(alldevs);return -1;
}// 检查链路层，本程序只简单的支持以太网
if (pcap_datalink(fp) != DLT_EN10MB)
{fprintf(stderr, "\n本程序只简单的支持以太网.\n");// 释放alldevs资源pcap_freealldevs(alldevs);return -1;
}if (d->addresses != NULL)
{// 取得一个网络接口的子网掩码netmask = ((struct sockaddr_in *)(d->addresses->netmask))->sin_addr.S_un.S_addr;
}
else
{netmask = 0xffffffff;
}// 编译过滤器
if (pcap_compile(fp, &fcode, packet_filter, 1, netmask) < 0)
{fprintf(stderr, "\nU不能编译包过滤，请检查正则表达式.\n");// 释放alldevs资源pcap_freealldevs(alldevs);return -1;
}// 设置过滤器
if (pcap_setfilter(fp, &fcode) < 0)
{fprintf(stderr, "\n设置过滤器失败.\n");// 释放alldevs资源pcap_freealldevs(alldevs);return -1;
}printf("\nlistening on %s ...\n", d->description);// 释放alldevs资源，因为不再需要它
pcap_freealldevs(alldevs);// 打开输出文件
dumpfile= pcap_dump_open(fp, ofilename);
if (dumpfile == NULL)
{fprintf(stderr,"\n打开输出文件错误\n");pcap_close(fp);return -1;
}// 开始捕获数据包
while((res = pcap_next_ex( fp, &header, &pkt_data)) >= 0)
{if(res == 0)/* 超时继续 */continue;// 将捕获的数据包存入文件pcap_dump((unsigned char *) dumpfile, header, pkt_data);// 取得IP头，14为以太网头长度ih = (ip_header*)(pkt_data + 14);ip_len = (ih->ver_ihl & 0xf) * 4;if (ih->proto == 6) //TCP {//取TCP头th = (tcp_header*)((u_char*)ih + ip_len);/* convert from network byte order to host byte order */sport = ntohs(th->sport);   //网络字节序转主机字节序dport = ntohs(th->dport);   //网络字节序转主机字节序/* 打印IP地址和端口号 */printf("%d.%d.%d.%d:%d-> %d.%d.%d.%d:%d\n",ih->saddr.byte1,ih->saddr.byte2,ih->saddr.byte3,ih->saddr.byte4,sport,ih->daddr.byte1,ih->daddr.byte2,ih->daddr.byte3,ih->daddr.byte4,dport); }else if (ih->proto == 17)   //UDP{//取UDP头uh = (udp_header*)((u_char*)ih + ip_len);/* convert from network byte order to host byte order */sport = ntohs(uh->sport);   //网络字节序转主机字节序dport = ntohs(uh->dport);   //网络字节序转主机字节序/* 打印IP地址和端口号 */printf("%d.%d.%d.%d:%d-> %d.%d.%d.%d:%d\n",ih->saddr.byte1,ih->saddr.byte2,ih->saddr.byte3,ih->saddr.byte4,sport,ih->daddr.byte1,ih->daddr.byte2,ih->daddr.byte3,ih->daddr.byte4,dport); }
}pcap_close(fp);
pcap_dump_close(dumpfile);return 0;}