Wireshark数据抓包分析之动态主机配置协议

原创 已于 2022-09-14 23:43:29 修改 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#wireshark #网络 #服务器

于 2022-09-14 15:34:10 首次发布
本文详细介绍了DHCP动态主机配置协议的工作原理、作用及流程,并通过Wireshark进行实验,展示了如何在Windows和Linux平台上获取DHCP数据包,以及分析DHCP Discover、Offer、Request和Ack四种报文的步骤,旨在帮助读者理解DHCP协议并掌握Wireshark的基本操作。

目录

预备知识

什么是DHCP

DHCP(Dynamic Host Configuration Procotol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作。DHCP的前身是BOOTP,属于TCP/IP的应用层协议。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP服务端口,分别作为DHCP Server和DHCP Client的服务端口;546端口用于GHCP v6 Client,而不用于DHCPv4,是为DHCP failover服务。该服务是需要特别开启的服务,用来做双机热备的。

DHCP的作用

DHCP为互联网上主机提供地址和配置参数。DHCP是基于Client/Server工作模式,DHCP服务为主机分配IP地址和提供主机配置参数。DHCP主要作用如下所示:
(1)保证任何IP地址在同一时刻只能由一台DHCP客户机使用。
(2)DHCP可以给用户分配永久固定的IP地址。
(3)DHCP允许用其他方法获得IP地址的主机共存,如手动配置IP地址的主机。
(4)DHCP服务器向现有的BOOTP客户端提供服务。
DHCP有3种分配IP地址方式,分别是自动分配、动态分配和手工配置。它们的区别如下:
自动分配(Automatic Allocation):DHCP给客户端分配永久性的IP地址。
动态分配(Dynamic Allocation):DHCP给客户端分配的IP地址过一段时间后会过期,或者客户端可以主动释放该地址。
手动配置(Manual Allocation):由用户手动为客户端指定IP地址。

DHCP工作流程

使用DHCP时,网络上首先必须有一台DHCP服务器,而其他计算机则是DHCP客户端。当DHCP客户端程序发出一个消息,要求一个动态IP地址时,DHCP服务器将根据目前配置的IP地址池,从中提供一个可供使用的IP地址和子网掩码给客户端。下面将介绍下DHCP的工作流程。
DHCP工作流程如下图:
在这里插入图片描述
从上图中,可以看出DHCP的工作过程分为4个阶段。分别表示发现阶段(DHCP Discover)、提供阶段(DHCP Offer)、选择阶段(DHCP Request)和确认阶段(DHCP Ack)。下面详细介绍这四个阶段:
(1)发现阶段,即DHCP客户端寻找DHCP服务器的阶段。DHCP客户端以广播方式(因为客户端不知道DHCP服务器的IP地址)发送DHCP Discover包,来寻找DHCP服务器,即向地址255.255.255.255发送特定的广播信息。网络上每一台安装了TCP/IP协议的主机都会接收到该广播信息,但只有DHCP服务器才会做出响应,如下:
在这里插入图片描述
上图表示本局域网中有3台DHCP服务器,都收到了客户端发送的DHCP Discover包。接下来就是服务器响应客户端了,即提供阶段。
(2)提供阶段,即DHCP服务器提供IP地址的阶段。在网络中收到DHCP Discover包的DHCP服务器,都会做出响应。这些DHCP服务器从尚未出租的IP地址中挑选一个给客户端,向客户端发送一个包含IP地址和其他设置的DHCP Offer包,如下图。
下面图中,局域网中的3个DHCP服务器都向客户端发送了DHCP Offer包。但是客户端只能接收一个服务器提供的信息,所以需要选择要接收的数据包信息。
在这里插入图片描述
(3)选择阶段,即DHCP客户机选择某台DHCP服务器提供的IP地址阶段。从上面图中可以看到,3台DHCP服务器都向客户端发送了DHCP Offer包。此时,DHCP客户机只接收第一个收到的DHCP Offer包。然后,以广播方式回答一个DHCP Request请求信息,该信息中包含向它所选定的DHCP服务器请求的IP地址的内容。这里使用广播方式回答,就是通知所有的DHCP服务器,它选择了某台DHCP服务器所提供的IP地址,如下图:
在这里插入图片描述
这时候,局域网中的所有DHCP服务器,都会收到DHCP客户端发送的DHCP Request信息。通过查看包信息,可以确定客户端是否选择了自己提供的IP地址。如果选择的是自己的,则发送一个确认包。否则,不进行响应。
(4)确认阶段,即DHCP服务器确认所提供的IP地址阶段。当DHCP服务器收到客户端发送的DHCP Request请求信息之后,便向DHCP客户端发送一个包含它提供的IP地址和其他设置的DHCP Ack信息,告诉DHCP客户端可以使用它所提供的IP地址,如下图。然后DHCP客户端将其TCP/IP协议与网卡绑定。另外,除了客户端选择的DHCP服务器外,其他的DHCP服务器都将收回曾提供的IP地址。
在这里插入图片描述
从上图中,也可以看出,只有一台DHCP服务器向客户端发送了DHCP Ack包。表示客户端选择了该服务器提供的IP地址及其他配置信息。

实验目的

1)熟悉并掌握Wireshark的基本操作。
2)加深对常用网络协议的理解,提高就业机会。
3)培养学生理论联系实践的研究兴趣。

实验环境

在这里插入图片描述
测试者:windows系统,IP地址:随机。
实验中,我们使用一台PC机器和路由器,即可产生DHCP数据包。现在的路由器都自带了DHCP功能,这样可以通过直接连接路由器来获取DHCP包。

实验步骤一

获取DHCP数据包

1.在windows平台上获取DHCP数据包

在windows平台上,可以使用两种简单的方法实现,其原理一样。
(1)在cmd上,使用ipconfig命令来获取。
在这里插入图片描述
执行完上述命令后,将释放当前使用的地址信息。重新获取地址信息,执行命令如下:
在这里插入图片描述
执行完上面的命令后,将重新获取地址信息。在获取地址时,将会经过上面讲述的DHCP的4个阶段。这样,我们就能获取到DHCP数据包了。
(2)通过禁用和启用网卡获取DHCP数据包:
在windows平台上,也可以通过禁用和启用网卡获取DHCP数据包。其中,禁用网卡,相当于上面的“ipconfig /release”命令,启用网卡相当于上面的“ipconfig /renew”命令。禁用和启动网卡属于操作系统基本操作,这里就不解释了。

2.在Linux平台上获取DHCP数据包

在linux下,可以通过使用ifdown和ifup命令来重新启动网卡。命令如下:

ifdown eth0          #禁用网卡
ifup eth0            #启用网卡

实验环境,没有涉及linux系统,这里就简单介绍下了。

实验步骤二

分析DHCP数据包

分析之前,我们先来学习下DHCP报文格式:

1.DHCP报文格式

在DHCP获取IP地址及其他网络配置参数的过程中,DHCP客户端和服务器之间要交换很多的消息报文,这些DHCP报文共有8种类型。每种报文的格式相同,只是某些字段的取值不同。DHCP报文格式如下:
DHCP报文格式:
在这里插入图片描述
各字段解释如下:
op:报文的操作类型。分为请求报文和响应报文,1是请求报文,2是响应报文。具体的报文类型在option字段中标识。
htype:DHCP客户端的硬件地址类型。1表示ethernet地址。
hlen:DHCP客户端的硬件地址长度。ethernet为6。
hops:DHCP报文经过的DHCP中继的数据。初始化为0,报文每经过一个DHCP中继,该字段就会增加1。
xid:客户端发起一次请求时选择的随机数,用来标识一次地址请求过程。
secs:DHCP客户端开始DHCP请求后所经过的时间,目前尚未使用,固定其0。
flags:DHCP服务器响应报文是采用单播还是广播方式发送。只使用第0比特位,0表示采用单播方式,1表示使用广播方式,其他比特保留不用。
ciaddr:DHCP客户端的IP地址。
yiaddr:DHCP服务器分配给客户端的IP地址。
siaddr:DHCP客户端获取IP地址等信息的服务器IP地址。
giaddr:DHCP客户端发出请求报文后经过的第一个DHCP中继的IP地址。
chaddr:DHCP客户端的硬件地址。
sname:DHCP客户端获取IP地址等信息的服务器名称。
file:DHCP服务器为DHCP客户端指定的启动配置文件名称及路径信息。
option:可选变长选项字段,包括报文的类型、有效租期、DNS服务器的IP地址和WINS服务器的IP地址等配置信息。
需要注意的是,上表DHCP报文格式中,每一个字段后的数字表示该字段在报文中占用的字节数。其中,option字段的长度要根据服务器所提供参数的多少而定,是可变的。

最低0.47元/天 解锁文章
Wireshark分析DHCP
琳小白的博客
03-22 6万+
DHCP,DNS和HTTP是3种常见的高层协议。一,动态主机配置协议DHCP1,DHCP简介DHCP(Dynamic Host Configuration Protocol),动态主机配置协议,是一个应用层协议。当我们将客户主机ip地址设置为动态获取方式时,DHCP服务器就会根据DHCP协议给客户端分配IP,使得客户机能够利用这个IP上网。DHCP的前身是BOOTP协议(Bootstrap Prot
DHCP 原理及抓包分析
u014023993的专栏
02-26 4716
目录 1. DHCP 简介 1.1 DHCP 作用 1.2 DHCP 工作机制 2.  DHCP 交互流程 2.1 正常交互流程 2.2 租约 2.3 客户端状态机 2.4 参数配置 3.  DHCP 报文 3.1 报文类型 3.2 报文格式 3.3 抓包 4. DHCP 中继代理 1. DHCP 简介 1.1 DHCP 作用 DHCP(Dynamic Host C...
DHCP协议的Wireshark抓包分析
weixin_43708235的博客
12-10 2260
DHCP(Dynamic Host Configuration Protocol),动态主机配置协议:计算机用来获得配置信息的协议。DHCP容许给某一计算机赋以IP地址而不需要管理者在服务器数据中配置有关该计算机信息,而当 Client传送封包给 Server时,采用的是UDP 67 Port,从 Server传送给 Client则是使用UDP 68 Port。
光猫里显示的设备类型为什么是MSFT 5.0
热门推荐
gsls200808的专栏
01-27 2万+
光猫里显示的设备类型为什么是MSFT 5.0? 先看一张光猫的图 先看DHCP分配IP地址的过程,Discover-Offer-Request-ACK,最后加一个ARP确认 实际上是DHCP Request(DHCP请求报文)里的选项字段Option: (60) Vendor class identifier厂商类型标识符字段,这里光猫把它的值显示出来了。类似的路由器还可以显
DHCP
Drizzlejj的博客
04-23 1485
DHCP协议提供了多种类型的报文,但是基本格式是相同的。不同类型的报文只是报文中的某些字段值不同。DHCP报文的基本格式如图1所示。 图1 DHCP报文格式 图1中每个字段含义如下: op:报文的操作类型。分为请求报文和响应报文。客户端发送给服务器的包为请求报文,值为1;服务器发送给客户端的包为响应报文,值为2。 htype:DHCP客户端的MAC地址类型。MAC地址类型其实是指明网络类型,htype值为1时表示为最常见的以太网MAC地址类型。 hlen:硬件地址长度。以太网MAC地址长度为.
精选资源
实战利用WireShark对Telnet协议进行抓包分析.docx
05-24
Wireshark 抓包分析 Telnet 协议 Wireshark 是一种功能强大的网络抓包分析工具,能够对网络协议进行深入分析。在本文中,我们将使用 Wireshark 对 Telnet 协议进行抓包分析,了解 Telnet 协议的工作原理和实现机制...
Wireshark数据抓包分析之HTTP协议
weixin_62707591的博客
06-28 2727
1. 什么是HTTP 2. HTTP具有的特点 2.1 两个支持 2.2 简单快速 2.3. 灵活 2.4. HTTP 0.9和1.0使用非持续连接 2.5. 无状态 3. HTTP请求方法 3.1 OPTIONS 3.2 HEAD 3.3 GET 3.4 POST 3.5 PUT 3.6 DELETE 3.7 TRACE 3.8 CONNECT 4. HTTP工作流程 5. 持久性连接与非持久性连接 5.1 非持久连接 5.2 持久连接 6. HTTP报文格式 6.1 HTTP请求报文格式 6.2 HTT
Wireshark数据抓包分析之互联网控制报文协议
ChuMeng1999的博客
09-06 1557
ICMP是Internet Control Message Protocol的缩写,即互联网控制报文协议。它是TCP/IP协议族的一个子协议,用于IP主机、路由器直接传递控制信息。控制信息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些消息虽然并不传输用户数据,但是对于用户数据的传递起着非常重要的作用。
实验十四:Wireshark数据抓包分析之ARP协议
weixin_70557959的博客
05-12 2万+
实验十四:Wireshark数据抓包分析之ARP协议 一、实验目的及要求 1、熟悉并掌握Wireshark的基本操作。 2、通过对Wireshark抓包实例进行分析,进一步加深对常用网络协议的理解。 3、培养学生理论联系实践的研究兴趣。 二、实验原理 1、什么是ARP ARP(AddressResolutionProtocol,地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。由于OSI模型把网络工作分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接通信。在..
DHCP服务检测
北溟居
04-10 2278
 利用jDHCP(http://www.dhcp.org/javadhcp/)检测DHCP服务,开发包中的example已经比较详细,关于DHCP的实现流程可参考http://www.cnpaf.net/Class/DHCP/053291853266276.html,在网络管理中需要的是对多个DHCP服务器的检测,虽然文中提到对于跨网段的检测可以使用DHCP proxy来实现,但在布署上未免太过于
Wireshark抓包分析DHCP
wwwlyj123321的博客
01-09 7331
自动分配方式(Automatic Allocation),DHCP服务器为主机指定一个永久性的IP地址,一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址后,就可以永久性的使用该地址。动态分配方式(Dynamic Allocation),DHCP服务器给主机指定一个具有时间限制的IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其他主机使用。手工分配方式(Manual Allocation),客户端的IP地址是由网络管理员指定的,DHCP服务器只是将指定的IP地址告诉客户端主机。
获取局域网内新加设备的IP地址
attackkk的博客
10-27 2283
获取局域网内新加设备的IP地址背景失败的尝试成功的方法理论知识理论分析实际操作结果分析成果问题 背景 新入一个设备,只能通过IP地址访问之。先将自己的主机用网线直接连接该设备,并将主机IP地址设为静态,且与该设备的默认IP处于同一网段下,可以通过该设备的默认IP访问之。现将该设备接入局域网局域网内采用DHCP动态分配IP,该设备IP不再是默认IP,需要想办法确定其IP地址。 失败的尝试 已知该设...
设备类型问题
sinat_24496253的博客
11-30 436
获取设备信息  navigator.userAgent.toLowerCase(); 浏览器属性  navigator.userAgent 设备像素比 devicePixelRatio 判断设备的宽度
局域网怎么查找非法dhcp_如何查找网络中其他非法DHCP服务器
weixin_36002881的博客
02-12 2758
由于 DHCP 协议是二层的,无法找到网络中那台非法 DHCP 服务器的源、目的 IP 地址。如果网络里面同时有多台 DHCP 服务器,而你的交换机没有阻止 DHCP 协议的发布,那么这个网是很危险的(我所在的小区里也有这样的情况,如果我架设了 DHCP,我会看到 /var/lib/DHCP/DHCPd.leases 看到很多被分配的 IP)我们可以采取用 tcpdump 抓包的方法,来判断对方的...
网络案例日志:用户接入路由器如何查找(如何查找内网其他非法的DHCP
laoxige的博客
01-12 1435
1、接到报障反馈:某区域部分用户无法上网。 2、现场查看终端PC获取了不正确的IP地址。 3、登录汇聚和接入层逐级了检查IP pool和IP地址表,均无匹配结果。 display ip pool | include XXX.XXX.XXX.XXX display interface brief | include XXX.XXX.XXX.XXX 4、尝试在浏览器上访问网关地址,弹出了TP-lin...
局域网怎么查找非法dhcp_扬尘监测系统该怎么连网?
weixin_39622138的博客
11-11 244
 现在扬尘监测系统的应用范围越来越宽广,除去常见的建筑施工工地外,城市网格化、小区社区、景区森林、工业园区、港口码头等公共场所均逐渐开始应用扬尘监测系统来实时监测区域环境范围内的空气质量与扬尘指数。实际上扬尘监测系统的搭建,不等同于一台PM2.5检测仪,它还要搭建起扬尘监测设备、联网配置、服务器、软件平台等物联网环节,在其中联网配置更是关系着扬尘监测系统应用的核心。那么扬尘监测系统如何联网呢?  ...
内网多个DHCP Server无法获取到地址上网的解决办法
邹邹s的博客
11-21 1万+
问题: 用户反映,经常有人自带路由器上网,通常内网会存在多个dhcp服务器,内网用户自动获取ip地址,由于dhcp发的是广播包,时常会获取到其他路由器上的地址,造成无法上网。   解决方案: 1、路由器(多lan口设备)的高级配置—特殊功能有一个功能是虚拟局域网,在这里可以配置port vlan,方法如下图所示: 路由器(多lan口设备)的高级配置—特殊功能有一个功能是虚拟局域网,在这里
DHCP介绍及实验报告
m0_73920233的博客
04-19 1206
基于UDP进行封装,端口号67/68(68好端口属于客户端,而67号端口属于服务端)
DHCP原理1-单个局域网出现多个DHCP服务器会发生什么
老Z先生的博客
06-23 2978
DHCP作为一个特殊的网络应用层协议,几乎在开开发中基于不会直接接触,但经常会遇到多DHCP服务器冲突问题.....
Wireshark数据抓包分析之UDP协议
最新发布
04-12
### 使用 Wireshark 进行 UDP 协议的数据抓包分析 #### 工具准备 Wireshark 是一款功能强大的网络协议分析工具,能够捕获并显示网络中的数据包详情。为了进行 UDP 数据抓包分析,需确保已安装最新版本的 Wireshark 并具备管理员权限以启动抓包操作。 #### 配置环境 在配置环境中,需要指定目标 IP 地址以及端口号来过滤特定流量。例如,在案例中提到的场景里,客户端地址为 `10.1.1.142`,服务器地址为 `10.1.1.33`[^1]。通过设置过滤器可以专注于观察这些设备之间的通信过程。 #### 设置捕捉条件 打开 Wireshark 后选择对应的网络接口开始捕捉数据流。对于上述例子中的情况,可以在界面底部输入栏键入如下表达式作为初始筛选条件: ```bash ip.addr==10.1.1.142 || ip.addr==10.1.1.33 && udp ``` 此命令会限定仅展示涉及两个IP间基于UDP协议交互的信息条目[^2]。 #### 查看具体信息 当成功获取到相关联的数据帧之后(如文中提及的第190号及51号),可以通过双击每一条记录深入探究其内部结构。重点注意以下几个方面: - **源/目的端口**: 显示当前连接所使用的实际端点编号; - **长度字段**: 表明该消息的实际大小; - **校验和验证状态**: 判断是否存在潜在错误发生可能; 另外值得注意的是DNS查询响应通常也会利用UDP来进行快速交换,并且一般情况下请求方会选择临时分配的一个高数值范围内的端口号发起呼叫而回应则固定采用标准定义下的53端口完成回复动作[^3]。 #### 分析常见问题 由于缺乏内在机制保障每次尝试都能顺利完成整个事务流程,所以在运用UDP执行任务期间难免遇到诸如丢包率过高或者顺序错乱等情况的发生。此时就需要依赖上层应用层面额外设计补偿策略加以弥补不足之处。 ```python import socket def send_udp_message(message, server_address): client_socket = socket.socket(socket.AF_INET, socket.SOCK_DGRAM) try: sent_bytes = client_socket.sendto(message.encode(), server_address) data, _ = client_socket.recvfrom(4096) return data.decode() finally: client_socket.close() if __name__ == "__main__": result = send_udp_message("hello", ("10.1.1.33", 80)) print(result) ``` 以上脚本演示了怎样构建简单的Python程序向远程主机发送一段字符串并通过监听返回值得知对方反馈状况。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值