sniff()函数的总结

作用：

sniff()函数主要是用来捕获经过本机网卡的数据包

格式：

sniff(filter="",iface="any",prn=function,count=N)

参数详解：

filter

filter参数主要是用来对数据包进行过滤，为了满足过滤符合某种特殊的目的，这里使用了伯克利过滤（Berkeley Packet Filter,BPF）,它采用了一种与自然语言很接近的语法，利用这种语法构成的字符串可以确定保留哪些数据包以及忽略哪些数据包（精准过滤）。

语法如下：空字符串，表示的就是匹配所有数据包。如果字符串不为空，使字符串为“真”的数据包会被保留(过滤出想要的，而不是过滤掉)。这种字符串通常由一个或者多个原语所组成，每个原语又由一个标识符组成，后面跟着一个或者多个限定符。

而限定符有如下3种：

Type：表示指代的对象，例如IP地址，子网或者端口等。常见的有host（用来表示主机名和IP地址），net（子网），port（端口），缺省值为host

Dir：表示数据包传输的方向，常见有src（源地址）和dst（目的地址），缺省值为包含两者，但两者为或关系。例如192.168.1.1表示匹配源地址或者目标地址为192.168.1.1的数据包

Proto：表示与数据包匹配的协议类型，常见的有Ether,IP,TCP,ARP这些协议

iface

用来指定要使用的网卡，默认为第一块网卡。

prn

表示对捕获到的数据包进行处理的函数，可以使用Lambda表达式。

例如将获取到的数据包输出：sniff(filter="icmp",prn=lambda x:x.summary())

对于比较复杂的处理函数，可以定义成回调函数，举个例子：

def packet_callback(pkt):
        return pkt.summary
sniff(prn=packet_callback)

count

用来指定监听到数据包的数量，达到指定的数量就会停止监听

实例：

设计一个监听器，它会在网卡eth0上监听源地址或者目标地址为192.168.1.1的ICMP数据包并输出，当收到了3个这样的数据包之后，停止监听。

sniff(filter='icmp and host 192.168.1.1',prn=lambda x:x.summary(),count=3)