<think>我们被要求使用Scapy库中的sniff函数的参数详细解释。根据提供的引用，特别是引用[2]和引用[4]，我们可以整理出各个参数的含义。同时，我们也要注意引用[3]中提到的sniff函数源码，它使用AsyncSniffer来执行嗅探。 参数解释如下（注意：我们使用中文，并且按照要求，行内数学公式用$...$，独立公式用$$...$$，但此处没有数学公式，所以主要关注文本格式）： 1. **count**：要捕获的数据包数量。默认值为0，表示不限制数量，直到满足其他停止条件（如超时）[^2][^4]。 2. **store**：是否保存捕获到的数据包。默认值为1（保存），如果设置为0则丢弃数据包（但在使用prn回调处理时可能仍会处理每个包）[^2][^4]。 3. **offline**：从pcap文件中读取数据包，而不进行实时嗅探。默认值为None。如果指定文件名，则从该文件读取[^4]。 4. **prn**：指定一个回调函数，该函数将应用于每个捕获到的数据包。如果该函数有返回值，则会被显示出来。默认值为None，即不调用任何函数。 5. **filter**：设置过滤规则，使用BPF（Berkeley Packet Filter）语法，类似于Wireshark中的过滤语法。例如，"tcp port 80"表示只捕获TCP端口80的数据包。 6. **L2socket**：使用给定的L2socket（数据链路层socket）。 7. **timeout**：在给定的时间（秒）后停止嗅探。默认值为None，表示没有超时限制。 8. **opened_socket**：对已打开的套接字对象使用.recv()方法读取数据包。这个参数允许使用已经存在的套接字而不是创建新的[^4]。 9. **stop_filter**：定义一个函数，该函数接收一个数据包作为参数，当该函数返回True时，停止捕获。默认值为None[^4]。 10. **iface**：指定要嗅探的网卡（接口）。可以是字符串（单个网卡）或字符串列表（多个网卡）。默认值为None，表示在所有网卡上进行嗅探[^2]。 另外，在引用[1]中给出了一个使用示例，其中使用了filter和prn参数。 注意：在引用[3]中我们看到sniff函数实际上是通过AsyncSniffer来实现的，所以这些参数最终都会传递给AsyncSniffer。 我们按照要求，在回答中引用的地方添加引用标记。同时，我们需要生成相关问题。 回答结构： 首先，简要介绍sniff函数的作用，然后逐个参数详细解释。 注意：我们引用的来源是引用[1]、[2]、[3]、[4]，因此我们在每个参数的详细解释后面，如果引用了这些内容，就加上引用标记。 由于引用标记要求自然地添加在段落末尾，我们可以在每个参数解释后加上对应的引用标记（如果该参数的解释来自某个引用）。 另外，用户要求生成相关问题，我们在最后添加相关问题部分。 开始回答： </think> ### Scapy 库中 `sniff()` 函数参数详解 `sniff()` 是 Scapy 的核心嗅探函数，用于捕获网络数据包。以下是各参数的详细解释（基于官方实现和社区文档[^3]）： #### 📌 核心参数 1. **`count`** - **作用**：指定捕获的数据包数量 - **默认值**：`0`（无限制，持续捕获） - **示例**：`sniff(count=10)` 捕获 10 个包后停止[^2] 2. **`store`** - **作用**：是否保存捕获的原始数据包 - **默认值**：`1`（保存），设为 `0` 时丢弃原始包（但仍会触发 `prn` 回调） - **适用场景**：仅需实时处理数据包，无需后续分析时 3. **`prn`** - **作用**：为每个数据包指定回调函数 - **参数**：函数需接收一个 `Packet` 对象作为输入 - **示例**： ```python def process(pkt): pkt.summary() sniff(prn=process) # 对每个包调用 process() ``` - **注意**：若回调函数有返回值，返回值会被打印[^2] 4. **`filter`** - **作用**：设置 BPF（Berkeley Packet Filter）过滤规则 - **语法**：与 Wireshark 过滤语法相同 - **示例**： - `filter="tcp port 80"`（捕获 HTTP 流量） - `filter="udp and host 192.168.1.1"`（捕获指定主机的 UDP 包）[^1] --- #### ⚙️ 高级控制参数 5. **`timeout`** - **作用**：设置最长捕获时间（秒） - **默认值**：`None`（无时间限制） - **示例**：`sniff(timeout=30)` 30 秒后自动停止 6. **`stop_filter`** - **作用**：自定义停止条件函数 - **触发**：函数返回 `True` 时终止捕获 - **示例**： ```python def stop_condition(pkt): return pkt.haslayer(TCP) and pkt[TCP].dport == 8080 sniff(stop_filter=stop_condition) # 捕获到目标包即停止 ``` 7. **`iface`** - **作用**：指定嗅探网卡 - **类型**：字符串（单网卡）或列表（多网卡） - **示例**： - `iface="eth0"`（单网卡） - `iface=["eth0", "wlan0"]`（多网卡）[^4] --- #### 🧩 特殊用途参数 8. **`offline`** - **作用**：从 pcap 文件读取数据包（代替实时捕获） - **示例**：`sniff(offline="capture.pcap")`[^4] 9. **`opened_socket`** - **作用**：复用已打开的套接字对象（需实现 `.recv()` 方法） - **适用场景**：与自定义套接字集成时 10. **`L2socket`** - **作用**：指定自定义链路层套接字（如处理特殊帧格式） - **默认**：使用 Scapy 的默认 L2 套接字 --- ### 基础使用示例 ```python from scapy.all import * # 捕获 5 个 HTTP 包并打印概要 sniff( filter="tcp port 80", count=5, prn=lambda pkt: pkt.summary() ) ``` ### 注意事项 - 实时捕获需管理员权限（Linux/Mac 用 `sudo`，Windows 需管理员终端） - `prn` 回调应避免耗时操作，否则可能丢包 - BPF 语法错误会抛出异常，建议先用 Wireshark 验证过滤规则