《dhcp报文分析》由会员分享,可在线阅读,更多相关《dhcp报文分析(9页珍藏版)》请在金锄头文库上搜索。
1、DHCP 报文分析一、在 windows 下对 DHCP 过程的抓包进步骤:1、首先打开 wireshark 进行抓包;2、在 cmd 中执行 ipconfig /release,该命令的作用是用来释放 IP,如果出现如下提示信息,表明本地连接没有设置成自动获取;在网络连接中将本地连接设成自动获取,再次执行 ipconfig /release,释放 IP 成功。Wireshark 抓包如图:3、执行命令 ipconfig /renew,发起一个 DHCP 过程,分析从这里开始。DHCP 通常有 Discover、Offer、Request、Ack 四个阶段,wireshark 抓包如下:此外还
2、有重新登陆和更新租约,这里不作解释。二、DHCP 协议的报文格式如下,括号内为长度:OP(1)Htype(1)Hlen(1)Hops(1)Transaction ID(4)Seconds(2) Flags(2)Ciaddr(4)Yiaddr(4)Siaddr(4)Giaddr(4)Chaddr(16)Sname(64)File(128)Options(variable)下面结合在 windows 下对 DHCP 过程的抓包进行分析:I、现在,客户机没有地址,它就会发出一个 DHCP Discover 报文,该报文是广播报文,所有的具有 DHCP Server 功能的服务器都会收到该报文。dhc
3、p 有 8 种类型的报文,每种报文的格式相同,只是报文中的某些字段取值不同。dhcp 报文格式基于 bootp(引导程序协议)的报文格式Bootstrap Protocol(Discover) 表明发送的是 Discover 报文。1、 Message type(opt):消息类型,为 1 时表示是 Client 的请求,为 2 时表示是 Server 的应答;2、 Hardware type(Htype):Client 的网络硬件地址类型,0x01 表示Client 的网络硬件是 10MB 的以太网类型(Ethernet);3、 Hardware address length(Hlen):C
4、lient 的网络硬件地址长度,6 表示 Client 的网络硬件地址长度是 6bytes(即以太网类型的 6 bytes 的 MAC 地址) ;注:MAC 地址,也叫硬件地址,是由 48 比特/bit 长(6 字节/byte,1byte=8bits),16 进制的数字组成.0-23 位叫做组织唯一标志符(organizationally unique,是识别 LAN(局域网)节点的标识。24-47 位是由厂家自己分配.其中第 40 位是组播地址标志位。4、 HOPS:跳数,即经过的中继数,表示当前的 DHCP 报文经过的 DHCP RELAY(中级)的数目,每经过一个 DHCP 中继,此字段
5、就会加 1,此字段的作用是限制 DHCP 报文不要经过太多的 DHCP RELAY,协议规定,当“hops”大于4(现在也有规定为 16)时,这个 DHCP 报文就不能再进行处理,而是丢弃;5、 Transaction id:事务 ID,Client 每次发送 DHCP 请求报文时选择的随机数,用来匹配 server 的响应报文是对哪个请求报文的响应。Client 会丢弃“ID”不匹配的响应报文。可以总结一下:第一个报文 Relase 的 Transaction ID:0x50488e40第二个报文 discover 的 Transaction ID: 0x71936d7d第三个报文 offe
6、r 的 Transaction ID: 0x71936d7d第四个报文 Requst 的 Transaction ID: 0x71936d7d第五个报文 ack 的 Transaction ID: 0x71936d7d6、 Seconds elapsed(Seconds):秒数,用来表示 client 开始 DHCP 请求后的时间流逝秒数;7、 Bootp flags(Flags):标志,在 BOOTP 中此字段是保留不用的,在DHCP 协议中也只使用了其左边的最高位;8、 Client IP address(Cliaddr):客户机 IP 地址;9、 Your (client)IP addr
7、ess(Yiaddr):分配给 client 的 IP 地址;10、Next Server IP address(Siaddr):服务器 IP 地址;11、Relay Agent IP address(Giaddr):中继代理 IP 地址;12、Client MAC address(Chaddr):客户机硬件地址 MAC;13、Client hardware address padding:客户机硬件 MAC 填充地址;14、Host name(Sname): 服务器的主机名;15、Boot file name(File):Client 的启动配置文件名;16、Magic cookie:是魔术
8、使用 cookie 是服务器可以知道该用户是否合法用户以及是否需要重新登录;17、Options 选项:括号内的 53 是该选项的注册 code,用来标识一个选项。如果用户想要在发送或接收的报文中添加选项,则需在程序中增加独一无二的选项 code。Dhcp message typecode = 53, length = 1, value= 1-8,此字段表示DHCP 报文类型。18、Discover 过程选项包括:1)消息类型:2)client MAC:3)Request IP Address:申请的 IP 地址4)Host name:,即主机名称;5)Parameter Request Li
9、st:等信息。DHCP 是基于 UDP 的过程,客户端发启的 bootpc 端口是 68,目标端口是 67II、所有被广播到的服务器收到 DHCP DISCOVER 报文后都会发送 DHCP offer 报文,向客户机提供 IP 地址供其选择 (cisco 用单播来实现) ,Tp-link使用的是组播实现;报文 Offer:Message type:为 2,即服务器回复客户端;Your (client)IP address:即服务器给客户端提供的 IP 地址;Client MAC address:表示客户端的 MAC 地址;选项也和 Discover 报文中的有所不同,包括:Message t
10、ype:Renewal Time Value:,即想要继续租约原来分配的 IP 地址,则提出续约申请的期限为 4 天;Rebinding Time Value:,即如果上次申请续约失败,再次申请绑定原来分配到的 IP 地址的期限为 7 天;IP Address Lease Time:,即租约时间;DHCP Server Identifier:即服务器 IP 地址;Router:,即跳数;III、客户端收到服务器提供的 IP 地址后会从中选择一个,然后广播发送DHCP request 报文,告诉服务器选择了 IP 地址,并拒绝其他服务器的 IP 地址。客户端还没有 IP 地址故采用广播发送。值得注意的是这个报文的选项中增加了选项 Server IP:表明选择了该服务器提供的 IP 地址IV、服务器收到 DHCP REQUEST 确认数据报之后也会回答客户机,即发送DHCP ACK 报文,确认客户端申请 IP 地址成功。没有被选中的服务器就将自己提供的 IP 地址收回。cisco 用得也是广播。
