Wireshark抓包分析理解DHCP协议及工作流程

wireshark,dhcp · 浏览次数 : 15

小编点评

DHCP(Dynamic Host Configuration Protocol)是一种用于动态分配IP地址的网络协议。相比于传统的手动配置方法,DHCP大大提高了IP地址分配的效率,减少了人工配置的工作量,并降低了IP地址冲突的可能性。 DHCP协议的工作原理包括以下几个步骤: 1. 客户端发送DHCP Discover广播报文,以寻找DHCP服务器。 2. 服务器收到DHCP Discover报文后,发送DHCP Offer报文给客户端,提供IP地址及其他相关信息。 3. 客户端选择并发送DHCP Request报文给选中的服务器,请求分配IP地址。 4. 服务器收到DHCP Request报文后,判断IP地址是否可用,并发送DHCP ACK报文或DHCP NAK报文给客户端。 5. 客户端在获得IP地址后,可以通过发送DHCP Release报文释放IP地址。 DHCP动态获取IP地址的过程分为四个阶段:发现Discover阶段、提供Offer阶段、选择Request阶段和确认ACK阶段。在整个过程中,DHCP服务器负责管理和分配IP地址,而客户端则负责选择并请求IP地址。 通过使用DHCP协议,大型局域网中的主机可以更加高效地配置IP地址,避免了繁琐的手工配置,同时降低了IP地址冲突的风险。

正文

一、DHCP简介

  DHCP(Dynamic Host Configuration Protocol)动态主机配置协议,前身是BOOTP协议。在大型局域网中,需要给很多主机配置地址信息,如果采用传统手工配置(累死),效率太低,因此采用此协议可以很方便的给主机配置各种地址信息,例如IP地址,SubMask、网关地址、DNS等等。

  下面进行简单介绍,下面所述中Client值得就是DHCP Client,Server指的是DHCP Server


(1)DHCP协议理解

  • 定义:DHCP:Dynamic Host Configuration Protocol,动态主机配置协议,是一个应用在局域网中的网络协议,它使用UDP协议工作。
  • 理解:DHCP协议就是一个基于UDP协议工作在局域网内的网络协议,其最终的目的就是获取响应的IP地址,其中这过程中有多种分配方式,以及发送报文的格式要求等。
  • 作用:动态分配IP地址,过程自动化,终端无需一一手工配置,配置信息统一管理(DNS,网关),IP地址有限、需要大量配置IP地址、经常移动终端。
  • 好处:提高配置IP地址效率,减少配置工作量,减少IP地址冲突。
  • 分配IP地址方式:
    • (1)手工配置方式:通过网络管理员手工配置某台客户端特定的IP地址,当客户端请求分配时,DHCP服务器就将手动配置的IP地址分配给客户端。。
    • (2)自动配置方式:当DHCP客户端第一次想服务端租用到第一个IP地址后,就将这个IP地址永久分配给客户端使用。
    • (3)动态配置方式:服务器暂时分配一个IP地址给客户端,根据租约到期或者续约租期的方式来管理分配的IP地址。

(2)DHCP报文格式

2.1 DHCP报文封装格式

DHCP报文封装格式

链路层头

IP头  20bytes

UDP头

DHCP报文


2.2 DHCP报文格式

  • op:1byte,是报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文。具体的报文类型在option字段中标识。
  • htype:1byte,表示client硬件地址的类型,1表示以太网类型。
  • hlen:1byte,硬件地址的长度,以太网的硬件地址长度为6bytes。
  • hops:1byte,表示当前dhcp报文经过的DHCP中继的数目,每经过一个DHCP中继这个字段就加1.
  • xid:4bytes,由client端产生的随机数,用于匹配请求和应答报文,就是匹配应答报文是对哪个请求报文做出应答。
  • secs:2bytes,客户端进入IP地址申请进程的时间或者更新IP地址进程的时间;由客户端软件根据情况设定。目前没有使用,固定为0。
  • flags:2bytes,是标志字段,16比特中只使用了最高位比特(即最左边的比特),这个个比特是广播响应标识位,用来标识DHCP服务器发出的响应报文是广播还是单播,0是单播,1是广播。其余的比特位保留不用,都为0。
  • ciaddr:4bytes,是客户端的IP地址,可以是client自己的IP地址,也可以是server分配给client的IP地址。
  • yiaddr(Your IP Address):4bytes,是server分配给client的IP地址
  • siaddr:4bytes,是client端获取IP地址等信息的server端的地址
  • giaddr:4bytes,是client发出请求报文后经过的第一个中继的IP地址。
  • chaddr:16bytes,是client端的硬件地址,在client发出报文时会把自己网卡的硬件地址写进这个字段。
  • sname:64bytes,服务器主机名,是client端获取IP地址等信息的服务器名称。
  • file:128bytes,是client的启动配置文件名,是服务器为client指定的启动配置文件名及路径信息,由服务器填写。
  • options是可选变长的选项字段,这个字段包含了终端的初始配置信息和网络配置信息,包括报文类型,有效租期,DNS服务器的IP地址等配置信息

 

  Options字段有很多项,是可选的,不同的报文option项可能不同。

  不同的option项有不同的含义,下面是一些常见的option项:

  • DHCP Message Type:表示DHCP的报文类型。
  • Client identifier:   client端的硬件地址
  • Server identifier:  服务器的IP地址
  • Subnet Mask:  子网掩码
  • route:  网关IP地址
  • Domain Name Server: DNS服务器的IP地址
  • IP Address Lease Time: 租约时间

(3)DHCP报文的种类

  Dhcp协议一共有8种报文,包括:DHCP DsicoverDHCP OfferDHCP RequestDHCP ACKDHCP NAKDHCP ReleaseDHCP DeclineDHCP Inform

  报文类型由options字段中的option53“DHCP Message Type”选项来确定。各报文的具体含义如下:

1.DHCP Dsicover报文:0x01  客户端请求包

这个报文是client端开始dhcp过程的第一个请求报文,client在请求地址时,并不知道server端的位置,所以client会以广播的方式发送请求报文,它的目的是发现网络中的服务器。

2.DHCP Offer报文: 0x02  服务器响应包

  这个报文server端对DISCOVERY报文的响应报文。会在所配置的地址池中查找一个合适的IP地址,加上相应的租约期限和其他配置信息(如GATEWAY,DNS SERVER等),构造一个OFFER报文,发送给用户,告知用户本SERVER可以为其提供IP地址的分配,并且。发OFFER报文一般是单播的方式发送。

3.DHCP Request报文:0x03 客户端选择包

  在一个子网中可能有多台服务器,所有收到DISCOVER报文的服务器都会回应OFFER报文,所以client端可能收到多个OFFER报文,通常会选择第一个OFFER报文的服务器作为自己的目标服务器,并回应一个REQUEST请求报文。在续租约的时候client端也会发送REQUEST报文  请求续租期。

4.DHCP ACK报文:0x05  服务器确认包

  是server对client端的REQUEST报文的确认响应报文,server在收到REQUEST报文后,根据REQUEST报文中携带的client MAC来查找有没有相应的租约记录,如果有则发送ACK报文作为回应,通知client可以使用分配的IP地址。

5.DHCP NAK报文:0x06  服务器拒绝包

  Server端对client端的REQUEST报文的拒绝响应报文,如果服务器没有相应的租约记录,就会发送NAK报文给client端。

6.DHCP Release报文:0x07  客户端释放包

  Client端主动释放server端分配给它的IP是,就会发送DHCP-RELEASE报文给server,server收到这个报文后,就会回收这个IP地址。

7.DHCP Decline:0x04

  client收到server回应的ACK报文后,通过地址冲突检测发现 SERVER分配的地址冲突或由于其它原因导致不能使用,则发送DHCP-DECLINE报文,通知server所分配的IP地址不可用。

8.DHCP Inform报文:0x08

  在client已经获得了IP地址,需要从server端获得更详细的配置信息时,就会发送DHCP-INFORM报文向server请求,server在收到这个报文后,会根据租约查找,找到相应的配置信息后,就会回应DHCP-ACK报文给client。


(4)DHCP工作过程

  1. 客户端通过广播发送DHCP Discover报文寻找DHCP服务端
  2. 服务端通过单播发送DHCP Offer报文向客户端提供从地址池中挑选的可用IP等网络信息
  3. 客户端只接收第一个收到的DHCP Offer报文提取IP地址,然后向通过广播发送DHCP Request报文告知服务端要使用该IP地址
  4. 服务端通过单播发送DHCP ACK报文告知客户端该IP地址是合法可用的,并提供租约信息

 


二、DHCP动态获取IP地址

  DHCP动态获取IP地址的过程主要分为发现Discover阶段提供Offer阶段选择Request阶段确认ACK阶段四个阶段。


(1)发现Discover阶段:

  client端在局域网内以广播的方式发起一个DHCP Discover广播报文,目的是在子网络中发现能够给client端提供IP地址的server端。

  特别要注意到的是,PC会随机出一个Transaction ID,如果之后收到的Offer报文中的Transaction ID与PC模拟出的不同,PC会将该Offer报文直接丢弃

  UDP 目标端口号为67    源IP地址:0.0.0.0    目的IP地址:255.255.255.255


(2)提供Offer阶段:

  局域网中DHCP server接受到Discover包之后,通过发送DHCP offer包给client端应答,主要是告知client端可以提供IP地址,以及相应的IP地址租约信息和其他配置信息也会在其中。

  UDP 目标端口号为68    源IP地址:172.22.192.1    目的IP地址:172.22.194.142

  DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client区分不同的DHCP Server


(3)选择Request阶段:

  在client端可能会接受到多个offer包,通常clientdaunt只会接受收到的第一个DHCP offer报文,然后client端就会以广播的方式发送一个DHCP request报文请求分配IP地址

  UDP 目标67    源IP为0.0.0.0   目的IP:255.255.255.255

  DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP ServerIP地址和需要的IP地址


(4)确认ACK阶段:

  server端在收到DHCP request报文之后,会判断”option”字段的serverIP地址是否是自己的IP地址,如果符合分配IP地址的条件,就会给client发送一个DHCP ACK包,如果不满足就发挥发送一个DHCP NAK 包

  DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK报文,并在选项字段中增加IP地址的使用租期信息。


(5)DHCP Release

   DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配

  图中的5个报文,其中DHCP Release报文为PC释放IP时发出的报文。


 

与Wireshark抓包分析理解DHCP协议及工作流程相似的内容:

Wireshark抓包分析理解DHCP协议及工作流程

文章详细描述了DHCP报文的封装格式和具体字段,包括操作类型、硬件地址类型、长度、随机数、标志位等,并对选项字段中的常见选项进行了解释。随后,文章列举了DHCP的八种报文类型,并解释了每种报文的含义和作用。 文章的核心部分是DHCP的工作流程,分为四个阶段:发现(Discover)、提供(Offe...

聊聊wireshark的进阶使用功能

emmm,说起网络知识学习肯定离不来wireshark工具,这个工具能够帮助我们快速地定位网络问题以及帮助正在学习网络协议这块的知识的同学验证理论与实际的一大利器,平时更多的只是停留在初步的使用阶段。也是利用部门内部的网络兴趣小组的讨论机会,私下对wireshark的一些进阶功能,比如专家模式、图表等功能进行调研,并结合实际场景抓包分析对功能进行对照说明。

利用Wireshark抓包分析DNS域名解析过程

一、DNS协议概述 DNS协议也可以称为DNS服务,全称是Domain Name System,即域名系统,和HTTP协议一样,也是一个位于应用层的协议(服务),它是基于运输层的UDP协议的。从DNS的名字我们就可以知道,它提供域名映射到IP地址的服务。 二、实验目的 掌握DNS域名解析过程 熟悉D

[转帖]Https、SSL/TLS相关知识及wireShark抓包分析

https://cloud.tencent.com/developer/article/1954070?areaSource=104001.56&traceId=7WZNP412yK3vh7ebw4th0 一、网络通信的三大风险 在HTTP协议中,所有报文的发送、接收都是以明文的形式进行的。也就是说

[转帖]Wireshark:又一个可以查看https消息内容的工具

https://www.jianshu.com/p/7c16474edd9b 我们在接口测试和故障诊断调试时,需要查看消息里边的内容,如果是http消息可以通过wireshark抓包分析软件看到,但https消息内容在传输过程中是加密的,怎样才能看到https加密后的消息呢? 从技术上来说,需要拿到

[转帖]tcpdump/wireshark 抓包及分析(2019)

http://arthurchiao.art/blog/tcpdump-practice-zh/ 本文将展示如何使用 tcpdump 抓包,以及如何用 tcpdump 和 wireshark 分析网络流量。 文中的例子比较简单,适合作为入门参考。 1 基础环境准备 为方便大家跟着上手练习,本文将搭建

[转帖]《Linux性能优化实战》笔记(20)—— 使用 tcpdump 和 Wireshark 分析网络流量

tcpdump 和 Wireshark 是最常用的网络抓包和分析工具,更是分析网络性能必不可少的利器。 tcpdump 仅支持命令行格式使用,常用在服务器中抓取和分析网络包。Wireshark 除了可以抓包,还提供了强大的图形界面和汇总分析工具,在分析复杂的网络情景时,尤为简单和实用。因而,在实际分

Wireshark基础教程

Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据

[转帖]Nginx之proxy_redirect详解

今天在做nginx反向代理apache的时候出了一点点问题,原来后端apache用的端口是8080通过反向代理后,使用wireshark抓包发现location头域数值为http://192.168.1.154:8080/wuman/ 如果把这个返回给客户端肯定是不可以的,看起来别扭而且还暴露了ap

[转帖]lordrunner获取手机app脚本

https://www.jianshu.com/p/67a70bd78847 方法一:Wireshark 1、本机连上有线,开启热点 2、手机连上电脑热点 3、用wireshark选择有线以太网所对应的网卡进行抓包 4、在过滤器中输入http and ip.addr==主机地址 或者 http an