DHCP报文精细分析-加上wireshark抓包

1、精选文档 CHCPType - DHCP Ra1 EHCP Ervpr Tdpntdf-ipr = !?, 16R. 1,1 client 1dent1f1er 2、 Hardware address typeClie nt 的网络硬件地址类型, 1表示Client的网络硬件是 开始抓报文时首先执行的 IPCONFIG/RELEAS命令的作用是用来释放 IP,这条报文后面 分析，在释放Ip后执行的更新IP命令IPCONFIG/RENEW各发起一个 DHCP过程，分析从这 里开始。现在，客户机没有地址，它就会发出一个 DHCPDiscover报文，该报文是广播报文， 所有的具有DHCP Serv

2、er功能的服务器都会收到该报文。 Ei user Datacrati Protocol, sre Port * bootpc C5 boorpc (68) Dtsri nit ion port： b corps W) Length: SOS i Checoum: 3x2753 :、耳 1 i 勺ion disaul edj Goad Checks jit: False* I Bad chectsvm: False H Bootstrap Protocol Message type: Boot Request 1) HaFHwArG typp Ftherript Hardware address

3、 1 ergrii; 6 HQpS； 0 Transaction ID: Dx5O48Be0 +i Boorp flags: Qxoooo Cum cast) Cl lent IP dtkit!、： 192.1C6.1.102 192.103.1.102 Your CclienrJ IP adcrcs: 0,D.0.0 (0,0.0,0J server if addr ! 0.0. D. 0 (0. 0.0. 0) Rd a/ 呛的 t if address: u.o. u. o (o, o,o. ) MAC ddctJess : 70 ： f 11 al: f 7 1 ee; b5 (70

4、; fl: dl: f 7 : ee .L5) C H ent k ar dvzar e add厂占 paddi ng : 00000000000000000000 Server host nama not giver Boot 1e nane not cin Magic cooki e: 田 option:(t-J3,1-1) Option :(t=$4 .1=4) r+1 option; (t-61,1) Erd Option Paddi ng dhep有8种类型的报文，每种报文的格式相同，只是报文中的某些字段取值不同 dhep报文格式基于bootp （引导程序协议）的报文格式 1、 Bo

5、ot record type 为1时表示是Client的请求，为2时表示是Server的应答。 可编辑 10MB的以太网类型 3、 Hardware address len gthClie nt 的网络硬件地址长度，6表示Client的网络硬件地 址长度是6bytes （即以太网类型的 6bytes的MAC地址）。 MAC地址,也叫硬件地址，是由48比特/bit长（6字节/byte,1byte=8bits）,16进制的数字组 成.0-23位叫做组织唯一标志符（organizationally unique，是识别LAN （局域网）节点的 标识。24-47位是由厂家自己分配.其中第40位是组播地

6、址标志位 4、 HOPS跳数，表示当前的 DHCP报文经过的DHCP RELAY （中级）的数目，每经过一 个DHCP中继，此字段就会加1，此字段的作用是限制 DHCP报文不要经过太多的 DHCP RELAY，协议规定，当“ hops ”大于4 （现在也有规定为16 ）时，这个DHCP报文就 不能再进行处理，而是丢弃。 5、 Transaction id事务ID，Client每次发送DHCP请求报文时选择的随机数，用来匹配 server的响应报文是对哪个请求报文的响应。Client会丢弃“ ID”不匹配的响应报文。 可以总结一下：第一个报文 Relase 的 Transaction ID:0

7、x50488e40 第二个报文 discover 的 Transaction ID: 0 x71936d7d 第三个报文 ofer 的 Transaction ID: 0 x71936d7d 第四个报文 Requst 的 Transaction ID: 0 x71936d7d 第五个报文 ack 的 Transaction ID: 0 x71936d7d .tr?nz?k?n 处理,办理,执行 6、Elapsed boot time秒数，用来表示 client开始DHCP请求后的时间流逝秒数 D.J.il?ps（时间）消逝，过去 elapsed -经过 创 Booxp flags: 0 x00

8、00 funi casr） 0=Broadcast fl ag: uni匸寸 * 000 0000 0000 Q00Q = Reserved flags: 0 x0000 精选文档 19、 可编辑 7、flags标志，在BOOTP中此字段是保留不用的，在DHCP协议中也只使用了其左边的 最高位。 8、 Client self-assigned IPaddress 客户机IP地址 9、 Client/Your IP address server 分配给client的IP地址 10、Next Server to use in bootstrap 服务器IP地址 11、Relay AgentDHCP

9、中继代理 IP 地址 12、Client hardware address客户机硬件地址 MAC 13、Client hardware address padding 14、 Host name服务器的主机名 客户机硬件MAC填充地址 15、Boot file nameClient的启动配置文件名 16、Magic cookie是魔术使用cookie是服务器可以知道该用户是否合法用户以及是否需 要重新登录 17、 li option：F 1=1) dhcp 制0弓占赴 Type = dhcp r 1 value: 07 Dhcp message typecode = 53 ，length =

10、1 ， value= 1-8 ，此字段表示 DHCP报文类 18、 匚 opTion:,1=4) dhcp server ident-ificr = 192.168.1,1 oplin: (54) DHCP Server identifier Length; 4 value: COAfiQlOL DHCP sever的报文的类型 精选文档 可编辑 i- opficrn: (t=61 t1-7) c 11 nt i dntifi er option: (61) cl I ent i denfif ier Length： 7 Value： 0170F1A1F7EEB5 Hardware type:

11、 Ethernet 5 (-ib led J Good checks,s tals-ej i ttbmet Hirrt adretf #ngrh： c HOf5 r Q Trattsaerlcrt id： 0.:1口5亠白 目襄51 1pvq： 0 0 S 1(itiiilf1 TrarrBKIItf* ID: 0a71tMd?d Seconds 亡lapsed: 4* - Bdolp IM押-ChlJOQQ CVoJdCut) CllBTt JP adet-Mi-r QO.d (Qf.0iQ) mr OcHlanj ip JkT1H2.16A.jLlOJ (112-16B.ji.lQJJ N

12、rr grvir PP656勺(0i9- Q-l R.l a1 afirTE if jddry CL WO (0. A-Q-* Clim wuC珥hfViLli讨口* cHat hv吐wOCOOatKMOMHiOOOOMMO Sv*tr iwi w*e f 那wwi gw fll* rum rui qTi的 raAnei opM；n. Z5 0 刖 CfHlMi (1*1 riM) grw im.jlM.l.1 ffi Option: (tY j0 Domin mne Server - 193.1DB 1. End opt tan 4、DHCP request 报文客户端还没有IP地址用广播

13、：缸 F嘍作T HtirdHiarg addrss-s langrzh: G Hops; 0 TrafibacHan ID; ST章越md sfrcarxls el apsed 0 “ B (t-53,1-1) dhcp Message Type - dhcp Discover optH on: (53) dhcp Message Type Length; 1 value: 01 E optlan: (t-61 J-7 client identifler opfion: (61) client identifier Length: 7 value: 0170F1A1F7EEP5 Hardwar

14、e type: Ethernet Cl ient 甘AC address : 70:fl:a.1: f7:ee: b5 (70 :fl :al:f7 :ee: b) s opfi on: (t=50p 1=4) RequesTed TP Address = 152.16fl. 1.102 optlon: (50) Requested ip Address Length: 4 va.lue: C0A6O166 Opfi on: (t=L2.1=：L5) host Name = *WIN-SOB4S4610A1 opfi Qr； (12) HQ5t N3E宅 Length: 15 Value: 5

15、7494E2D534F42343S34S6514F413L Opfi on: (1=60.1=S) vendor class dencfier = ksfT 5.0 optlor: (60) vendor class 1 dent ifier Length: 8 vilue: 4d53465420552e30 -opfi on: (r=55,1=12) Paramet er Request Li st optl or: (55) pararreter Request Li st Length: 12 T option: (t=55 J=12) Parameter Request List Op

16、tion: (55) PrRequest Li st Length: 12 Value: CK1FO3O62C2E2F1F2179F92B 1 = 5ubner M.ask 15 = Domalr Mane m Router 6 = Domin N3tn电 server 44 = NetBIOS ovr TCP IP Name Server 46 = NetBIOS over tcp/ip Node Type 47 = NetBIOS over tcp/ip scope 31 = Perform Router Di scover mm = static Rouxe 121 - Clisslss

17、 Static Route 249 =classless static Route (Microsoft) 4 3= verdor-specnfi c irrf ormati on end option 2 DHCP 回应的IP租用提供报文：dhcpoffer :此为server对dhcpdiscover报文的响应 报文 任何接收到DHCPDISCOVER 广播包并且能够提供 IP地址的DHCP服务器，都会通过UDP 67给客户机回应一个 DHCPOFFER广播包，提供一个IP地址。该广播包的源 IP地址 为DHCP服务器IP，目标IP地址为255.255.255.255;包中还包含提供的 I

18、P地址、 子网掩码，网关，DNS及租期等信息。 -41E1 A2.-Q2T3-KE! 1AB；. 1.1 55.255-251.235 0HCP Bootstrap Protocol Message type： Eoot Reply (2) Hardware type: Ethernet Hardware address 1 errgth: 6 Hops; 0 Transaction ID! 0 x71936d7d Seconds elapsed: O +i Bootp flags: Ox-8000 BroadcastJ cl-ient ip address; 0- 0* 0.0 (0.0.0

19、 Your (client) IP address： 192.168.1,102 =i Optior i (t=5J(l =1) DHCP M电呀占ag包 Type = DHt Offer option: (53) DnCP Message Type Length: 1 val ue: 02 1 Opt ion:(t-54,-4 DHCP Server identifier - 1 (54) DHCF Server icent i fi er Length： 4 vlue： COASOIOI i Cptior; (t-51-1) IP Address Lease Tirrc - 2 hours

20、 option: (51 ip Address tease rime Length: 4 value； 00001C20 _i cprior : (r-lj 1fl) subnet Mask - 255*255. 2 55.0 upt Ion:(丄)Subnet. Misk Length: 4 value： fffp匚UOO _i Opt i 4 Valup r CGASO101 Option; (t-61 lh4) Douai in N011亡 Server = 192,1,1 option： (6) Domain Name server Length: 4 valuw： C0A8O101

21、End opt i on paddirg 3客户选择IP租用报文：dheprequst :此为client 对dihepoffer报文的响应 客户机从不止一台 DHCP服务器接收到提供之后，会选择第一个收到的 DHCPOFFER包, 并向网络中广播一个 DHCPREQUEST消息包，表明自己已经接受了一个DHCP服务 器提供的IP地址。该广播包中包含 所接爱的IP地址和服务器的IP地址。所有其他的 DHCP服务器撤消它们的提供以便将IP地址提供下一次IP租用请求。 # Bootp Fing弓：OxSOOO (Eroadcast) CTient IP address ： 0,0* 0* 0 (,

22、 C, 0, 0) Your (cTient) ip address: (h 0,0.0 (a. 0* 0.0) Next server ip address: 0.0. 0.0 CO- 0. 0. 03 Relay agcrt IP address: 0,0.0,0 (0.0.0.0) client MAC address : 70 :fl: al汁了：歸：b5 70:1:31:f7:e :b5) C lent hardware address paddi ng: 00000000000000000000 Server hosr name rot g i ven Boot file nane

23、 not given Magic cookie: Cok) e option: (t=53,1=1) H option: (t=61J 1=7) i* option: (x-50j 1-4) option: (t=54,1=4) DHCP Message Type = DHCP Request Cl 1 ent iderrtifi er Requested ip Address - 192.1681142 dhcp server工臼世门上计徒厂=丄92.16B. 1.1 SI Option; (T =12,1=15) Host Name - bwlN-5OB4S4eiOAl* t option

24、: (t51,1-IB) c1ient Fully Qualifled Domaln * optior: (t=0,1 =8) vendor cl ass i dentif-ier = msft S.O S Option: (T= 5511=12) Parameter Request Ln End opfion 3 Opti on: (t53,1-L) DHCP Message Type - DHCP Request Opr彳on: (53) dhcp Message Type Length: 1 value: 03 r) optian: (x-61,1-7) client identifie

25、r option: (61) client identifier Length: 7 Value： 0170F1ALF7EEB5 Hardwar e type; etherner Cl lent MAC address: 70:fl:al:f7:ee：b5 (70:Fl:al:f7:ee:b5) opti on: (t=50,1=4)ip Address = 192.168.1.102 option: (50) Requesred HF Address Length: 4 value:匚0A80166 T Opti on： Ct=54 p1=4) DHCP server idenrlfier

26、= L92-16S.L.1 Option: (54) DHCP 5已rver identifier Length: 4 value: C0A8010L d opti on: (t=L2 P1-15) Hast Name = wtNYOEdMFLmvL OptiOn: (L2) host Name Length: Value： 57494 E2D5J4F42313S34 36314F4131 option: (t-81,1=183 client Fully qualified Domain Name opt i on : (01) client Fully Qual if i ed Domain

27、 Marne Lengrh； iq value: 000000574g42D534F42543B3436314F4131 Flags: CxOO cooc ，* = *” Or* Reserved flags: QxOO server DDN5: some server updates 匚ncoding: aecii encoding .0 = server:匚1i err Server overrides: no override a-rr result: 0 PTR-R.R result: 0 cH ent name： WIN-5OB4S461oa1 口 Option: (t-60,1 -

28、fl) Vendor class i dent if i er - msft 5- O opti on: (60) vendor 亡聲占 identif-ler LEngrhi 8 Val ue : 4D53465420352E30 t option: (t=55t1=123 Par ameter Request Li st Opri n: (55) Parameter Request Length; 12 Value: 010F03Q62C2E2F1F2179F92B 1 = Subner Mask 15 = Donain Name 3 - Router 6 = cwmjiin Mdino serv&r 44 = NetBIOS over TCP IP niame Server 40 = NetBIOS over tcp ip Node r/pe 4 DHCP 服务器发出IP租用确认报文：dhcpack : server对dhcprequst 报文的响应， client收到此报文 后才