python3中的原始套接字

Question

我想写一个嗅探所有传入TCP数据包的数据包嗅探器。在我查找的一个示例中，而不是使用SOCK_RAW而不是SOCK_STREAM？

try: 
    s = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_TCP) 
except socket.error as e: 
    print('Socket creation failed. Error Code {} Message {}'.format(str(e[0]),str(e[1]))) 
    sys.exit() 

#Include IP headers 
s.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1) 
packet = s.recvfrom(65565) 

1）在上述情况下，我可以使用SOCK_STREAM而不是SOCK_RAW。 2）recvfrom（65565）是什么意思？ 这是否意味着从所有TCP端口recv而不是特定的TCP端口？

Answer 1

1. 如果使用SOCK_STREAM而不是SOCK_RAW，则不能读取协议标题，而只能读取通过TCP传输的数据。另一方面，SOCK_RAW将允许您访问完整的数据包标题。就你而言，如你想建立自己的协议分析器（嗅探器），SOCK_RAW应该是你的选择。

2. 的方法定义recvfrom是：

   socket.recvfrom（BUFSIZE [，标志]）

   从插座接收数据。返回值是一个对（字符串， 地址），其中 字符串是接收表示所述数据的字符串和地址是 套接字发送的

此方法仅接收最大bufsize字节数据的地址从插座。