DHCP抓包-Wireshark分析

已于 2023-09-14 05:56:07 修改
阅读量7.2k 收藏 81
点赞数 27
分类专栏: linux性能分析工具 文章标签: 网络 服务器 linux
于 2023-01-19 17:12:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31548597/article/details/128736275
版权

1、DHCP协议

  • DHCP(动态主机配置协议)是一个局域网的网络协议。
  • 指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。
  • DHCP采用UDP的68(客户端)和67(服务器)端口进行通信。

2Wireshark抓包分析工具

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

3、Tcpdump抓包命令详解

tcpdump是Linux下一种网络抓包命令。

【常用选项】

-i    tcpdump -i eth0       指定网络接口,any表示所有接口;

-nn  tcpdump -nn          不解析IP地址和端口号的名称;

-c   tcpdump -c 10          指定抓取包的数量;

-s   tcpdump -s 0(不限制) 指定抓取包的大小;

-w  tcpdump -w /1.pcap      指定保存的文件,后缀一般是.pcap;

【常用过滤条件】

host,src host,dst host  

tcpdump -i eth0 host 10.10.10.30  抓取本机eth0网卡和主机10.10.10.30相关的包;

port,src port,dst port  

    tcpdump -i eth0 port 22  抓取本机eth0网卡和端口22相关的包;

and,or,not

    tcpdump -i eth0 host 10.10.10.30 and port 22  抓取本机eth0网卡和主机10.30端口22相关的包;

4DHCP报文类型

主要类型:

DHCP Discover(发现)、DHCP Offer(提供)、DHCP Request(请求)、DHCP Ack(确认)

其他类型:

DHCP Nak(拒绝)、DHCP Decline(IP冲突)、DHCP Release(释放)、DHCP Inform(网络配置)

DHCP Discover(发现)

此数据包由DHCP Client发送,采用广播的形式通知网络内的DHCP服务器自己需要获得一个IP地址。

DHCP Offer(提供)

DHCP服务器返回的DHCP offer,此报文携带了各种配置信息,包含了一个可以分配的IP地址,也可以包含DNS服务器的地址。

网络内可能有多个DHCP服务器,因此也可能收到多个offer。

DHCP Request(请求)

此数据包用于申请offer中给出的IP地址,此时仍然没有真正获得IP地址,所以仍然是广播形式发送。

DHCP Ack(确认)

DHCP服务器对客户端的REQUEST报文的确认,客户端收到此报文后,才算获得了 IP 地址和相关的配置信息。

DHCP Nak(拒绝)

服务器对客户端的 DHCP REQUEST 报文的拒绝响应报文。

比如:服务器对客户端分配的 IP 地址已超过使用租借期限(服务器没有找到相应的租约记录)

   由于某些原因无法正常分配 IP 地址,则发送 DHCP NAK 报文作为应答(客户端移到了另一个新的网络)。

   通知 DHCP 客户端无法分配合适 IP 地址。DHCP 客户端需要重新发送DHCP DISCOVERY 报文来申请新的 IP 地址。

DHCP Decline(IP冲突)

当客户端发现服务器分配给它的 IP 地址发生冲突时会通过发送此报文来通知服务器,并且会重新向服务器申请地址。

DHCP Release(释放)

客户端可通过发送此报文主动释放服务器分配给它的 IP 地址,当服务器收到此报文后,可将这个 IP 地址分配给其它的客户端。

DHCP Inform(网络配置)

客户端已经获得了 IP 地址,发送此报文的目的是为了从服务器获得其他的一些网络配置信息,比如网关地址、DNS 服务器地址等。

5、IP地址租期
DHCP服务器提供的每个IP地址都有租用期,在Offer报文中的IP Address Lease Time中可以看到。

租期时间过长会导致地址资源长期被占用;

租期过短会导致DHCP请求包过多,增加网络负担;

通常情况下,对DHCP客户端数量较大,且断开网络比较频繁的公共场所,一般把DHCP租期配置较短,这样IP地址能很快被回收,比如机场、商铺等。

6IP地址续租过程
在租期还有1/2时,向DHCP服务器发送第一次DHCP Request报文;

1)如果收到服务器的DHCP Ack后,客户端的IP地址租期重新回满;
2)如果未收到Ack,可以继续使用该IP;

在租期还有1/4时,向DHCP服务器发送第二次DHCP Request报文;

1)如果收到Ack,租期回满;
2)如果未收到Ack,可以继续使用该IP;

在租期还有1/8时,向DHCP服务器发送第三次DHCP Request报文;

1)如果收到Ack,租期回满;
2)如果未收到Ack,租期结束后IP被回收;

7、DHCP抓包过程及包分析

[过程描述]

释放IP:DHCP Release

获取IP:DHCP Discover -- DHCP Offer -- DHCP Request -- DHCP Ack

1)安装tcpdump命令

  # apt -y install tcpdump

2)开始抓包,指定保存路径

  # tcpdump -i ens18 port 67 and port 68 -w /home/uos/Desktop/1.pcap

3)打开一个新的命令终端

释放dhcp获取的IP地址

    # sudo dhclient -r

    # ip a

从DHCP重新新获取IP地址

   # sudo dhclient  

   # ip a

4)结束抓包命令后,用Wireshark工具打开保存的文件1.pcap

5)DHCP Release(释放)

客户端释放IP地址时产生的报文

 6)DHCP Discover(发现)

客户端从DHCP获取IP地址时,客户端发送DHCP Discover广播报文,所以dst目标地址是255.255.255.255;此时客户端是没有IP的,所以src源IP地址是0.0.0.0;客户端src源端口68,dst目标端口67;另外,客户端会随机产生一个Transaction ID,之后收到的Offer报文中的Transaction ID如果与客户端的不一致,客户端会将Offer报文丢弃。

7)DHCP Offer(提供)

DHCP服务器收到来自客户端的报文后,会发送一个DHCP Offer包给客户端。

 8)DHCP Request(请求)

9)DHCP Ack(确认)

【愚公系列】2023年04月 wireshark系列-数据抓包分析DHCP协议
时光隧道
08-21 5万+
DHCP(动态主机配置协议)是一个局域网的网络协议。指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下,DHCP作为Windows Server的一个服务组件不会被系统自动安装,还需要管理员手动安装并进行必要的配置。
计算机网络抓取和分析DHCP
xiaolin666bushi的博客
04-08 230
分析DHCP协议。
wiresharkDHCP抓包分析
ZZZCY2003的博客
04-02 7749
DHCP(动态主机配置协议)确实是一种非常实用的网络协议,它能够自动地为网络中没有IP地址的主机分配地址、子网掩码等信息,极大地减轻了网络管理员的工作量。DHCP协议的前身是BOOTP(引导程序协议),主要用于无磁盘主机连入网络。然而,BOOTP需要在设定前事先获得客户端的硬件地址,且IP地址是静态的,这在有限的IP资源环境中可能会造成很大的浪费。DHCP作为BOOTP的增强版本,解决了这些问题。
DHCP服务器发现工具MctvDHCPServerDiscoveryTool
gitblog_06726的博客
05-04 618
DHCP服务器发现工具MctvDHCPServerDiscoveryTool 【下载地址】DHCP服务器发现工具MctvDHCPServerDiscoveryTool MctvDHCPServerDiscoveryTool是一款高效便捷的DHCP服务器发现工具,专为网络管理员和IT技术人员设计。它能自动扫描网络中的DHC...
WiresharkDHCP建立过程进行抓包分析.doc
10-30
DHCP:Dynamic Host Configuration Protocol 给主机动态的分配IP地址 DHCP Server :UDP67 DHPC Client: UDP68 DHCP服务器分配IP的过程
wireshark DHCP抓包
flyingzc的博客
06-18 2972
dhcp: 动态主机配置协议,让设备自动获取IP地址,应用层协议. DHCP -> UDP广播 -> IP 1.客户端广播Discover包,用于发现能提供IP地址的DHCP server. 只有DHCP服务器才会对该包做出响应.2.DHCP server通过响应DHCP Offer包,告知客户端自己可以提供的IP地址.3.客户端会收到很多Offer,客户端选择一个IP地址并发送DHCP Request包请求分配IP.4.DHCP Server发送ACK数据包,确认客户端选择的IP地址信息.IP地址租期过期
Wireshark抓包分析DHCP
wwwlyj123321的博客
01-09 6692
自动分配方式(Automatic Allocation),DHCP服务器为主机指定一个永久性的IP地址,一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址后,就可以永久性的使用该地址。动态分配方式(Dynamic Allocation),DHCP服务器给主机指定一个具有时间限制的IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其他主机使用。手工分配方式(Manual Allocation),客户端的IP地址是由网络管理员指定的,DHCP服务器只是将指定的IP地址告诉客户端主机。
HCIA——DHCP协议及实验wireshark抓包
钟言的博客
04-21 5936
本篇主要介绍DHCP定义,以及服务方式,详细解释DHCP4次服务过程。 同时包括实操:Wireshark抓包DHCP的请求,响应,request以及最终的确认包,在实际电脑向ISP请求IP地址的全过程,包含了对每个包的分析解释。 更好的巩固对DHCP服务过程以及方式的理解。
dhcp协议wireshark抓包分析
weixin_45544617的博客
09-08 800
DHCP(动态主机配置协议)是一个局域网的网络协议,主要用于集中管理、分配IP地址,使客户端能够动态地获得IP地址、网关地址、DNS服务器地址等信息。:DHCP协议通过集中的管理、分配IP地址,简化了网络配置过程,提升了地址的使用率。Ack报文中包含了最终分配给客户端的IP地址和配置信息。在Wireshark中,可以进一步分析Ack报文中的具体信息,以验证DHCP分配的IP地址和配置信息是否正确。通过以上步骤,可以详细分析DHCP协议在Wireshark中的抓包过程,了解DHCP协议的工作原理和报文结构。
wireshark-DHCP-DNS-抓包分析全英文版
12-29
在本案例中,我们关注的是如何使用Wireshark来捕获和分析DHCP(动态主机配置协议)和DNS(域名系统)的通信过程。 首先,关于Wireshark的配置。在Linux环境下,Wireshark的界面如描述所示。为了进行捕包,分别在...
9.1.5 DHCP Version6 (DHCPv6) - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
DHCPv6(Dynamic Host Configuration Protocol ...对于网络管理员来说,理解并熟练掌握DHCPv6的工作原理和抓包分析方法至关重要,这有助于诊断和解决网络配置问题,确保网络设备能正确地自动获取和使用IPv6地址。
DHCP基本原理研究图文抓包分析
04-15
HCP是一个非常典型的C/S模型(Client/Server)协议,基于UDP封装 DHCP Server是DHCP服务器,负责Client端IP地址的分配,使用端口67监听报文 (在生产环境中,DHCP服务器可以是交换机、路由器,也可以是防火墙,甚至可以是运行windows或linux操作系统的PC) DHCP Client是DHCP客户端,期望通过DHCP服务器获得ip地址等信息,使用端口68监听报文 (在生产环境中,DHCP客户端可以是PC、路由器、交换机、网络打印机、摄像头等等)
dhcp 抓 包
08-24
dhcp抓包.
DHCP抓包文件
01-08
DHCP学习,使用华为eNSP进行实例操作,通过wireshark抓包来进行分析
DHCP报文格式和抓包分析
11-24
DHCP报文格式和抓包分析,从最简单的报文格式开始分析,从基本上了解DHCP帧内容及其应用场景
DHCP协议抓包分析
11-03
通过DHCP抓包详细分析DHCP协议的详尽内容
wireshark筛选dhcp包_Wireshark分析DHCP
weixin_39774219的博客
12-19 1758
wait_for_yWireshark分析DHCP文章转载 自 https://blog.csdn.net/qq_24421591/article/details/50936469(0.0.0.0已经不是一个真正意义上的IP地址了。   它表示的是这样一个集合:1、所有不清楚的主机和目的网络。这里的“不清楚”是指在本机的路由表里没有特定条目指明如何到达。2、对本机来说,它就是一个“收容所”,所...
抓包分析DHCP的工作过程
air_729的博客
12-11 1434
DHCP:Dynamic Host Configuration Protocol,动态主机配置协议,是一个应用在局域网中的网络协议,它使用UDP协议工作。
DHCP抓包分析
weixin_58574637的博客
04-09 692
如果有则返回DHCP ACK报文,通知DHCP客户端可以继续使用这个IP地址,如果没有租约记录,则不响应。▫ 客户端广播发送包含前一次分配的IP地址的DHCP REQUEST报文,报文中的Option 50(请求的IP地址选项)字段填入曾经使用过的IP地址。• 如果租期时间到时都没有收到服务器的回应,客户端停止使用此IP地址,重新发送DHCP DISCOVER报文请求新的IP地址。已使用过的IP:客户端以前曾经使用过的IP地址,即客户端发送的请求报文中请求IP地址选项的地址。客户端可以通过发送DHCP
DHCP抓包
最新发布
06-06
<think>嗯,用户询问的是DHCP抓包工具的使用教程。结合之前的引用资料,用户已经对DHCP协议有基本了解,现在需要具体操作指引。用户明确提到“使用教程”,说明需要的是实战指导而非理论。注意到引用[4]详细描述了Windows环境下的抓包流程,而用户没有指定操作系统。需要覆盖主流的Wireshark工具,同时补充跨平台方案。用户作为网络学习者,可能更关注命令行工具作为进阶选项。用户引用的材料都聚焦DHCP交互过程而非其他协议,回复应严格限定在DHCP抓包范畴。引用[3]提到的五个报文(Discover/Offer/Request/Ack/Release)是核心分析对象,这个流程必须完整展示。考虑到用户可能进行实验室环境测试,需要增加过滤技巧和常见错误排查。引用[2]提到的租约机制相关报文也很重要,建议单独设置租期续约的过滤条件示例。用户没有提特定应用场景,可能是普通学习需求。保留IPv4DHCP分析逻辑即可,暂时无需扩展IPv6DHCPv6内容。但要注意引用[4]提到的UDP端口67/68是基础知识点,需要在过滤条件部分强调。最后用户可能需要后续学习路径,相关问题的设计要侧重操作深度(如租期调整后的抓包差异)而非协议扩展(如与DNS交互)。工具使用类问题优先于协议理论问题。</think> 下面是根据您的要求整理的DHCP抓包分析工具及Wireshark操作指南,结合引用资料关键细节: --- ### **📌 一、抓包工具推荐与准备工作** 1. **Wireshark(跨平台首选)** - 官网下载:https://www.wireshark.org/ - 支持实时抓取/解析DHCP报文(端口UDP 67/68)[^4] 2. **tcpdump(Linux命令行)** ```bash tcpdump -i eth0 port 67 or port 68 -w dhcp.pcap # 抓包保存到文件 ``` --- ### **🔧 二、Wireshark抓包教程(以DHCP为例)** #### **步骤1:启动捕获** 1. 打开Wireshark → 选择正在使用的网络接口(如Wi-Fi/Ethernet) 2. 在过滤栏输入 **`bootp`**(DHCP协议在Wireshark中的显示名称)[^4] #### **步骤2:触发DHCP交互** - **手动更新IP**(触发完整流程): ```bash # Windows ipconfig /release && ipconfig /renew # Linux dhclient -r eth0 && dhclient eth0 ``` #### **步骤3:分析核心报文(四步交互)[^3][^4]** | 报文类型 | 发送方 | 目的地址 | 作用 | 关键字段 | |----------------|----------|----------------|-------------------------------|------------------------| | **DHCP Discover** | 客户端 | 255.255.255.255 | 广播寻找DHCP服务器 | `Client MAC` | | **DHCP Offer** | 服务器 | 255.255.255.255 | 提供IP配置参数 | `Your IP`、`Subnet Mask` | | **DHCP Request** | 客户端 | 255.255.255.255 | 确认使用某服务器提供的IP | `Requested IP` | | **DHCP ACK** | 服务器 | 255.255.255.255 | 最终确认分配IP | `IP Address`、`Lease Time` | > ⚠️ **注意**:客户端在收到`ACK`前IP始终为`0.0.0.0`[^4] #### **步骤4:租约管理分析** - **租期续约**(50%时间点自动触发): - 客户端直接向原服务器发送 **`DHCP Request`** 请求延长租期[^2] - **释放IP**: - 主动断开网络时发送 **`DHCP Release`** 报文[^3] --- ### 🔎 **三、高阶分析技巧** 1. **过滤特定报文**: - `bootp.option.dhcp == 1` → 仅显示Discover - `bootp.option.dhcp == 5` → 仅显示ACK 2. **租期跟踪**: - 在`ACK`报文中查看 **`IP Address Lease Time`** 字段(默认8小时)[^3] 3. **异常诊断**: - 重复`Discover`无响应 → 检查服务器可达性 - `Offer`后无`ACK` → IP冲突或服务器故障 --- ### 📚 **四、补充学习建议** 1. **模拟环境搭建**: 使用GNS3/EVE-NG构建包含DHCP服务器的虚拟网络进行测试 2. **RFC文档**: 查阅RFC 2131了解DHCP协议设计细节 --- **📌 推荐学习路径** `基础抓包 → 报文结构分析 → 租约机制验证 → 故障场景复现` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值