DHCP报文精细分析_加上抓包

1、dhcH艮文精细分析加上抓包开始抓报文时首先执行的 IPCONFIG/RELEAS附令的作用是用来释放 IP,这条报文后 面分析，在释放Ip后执行的更新IP命令IPCONFIG/RENEW各发起一个DHCP过程，分析从 这里开始。现在，客户机没有地址，它就会发出一个DHCPDiscover报文，该报文是广播报文，所有的具有DHCP Server功能的服务器都会收到该报文。-I User Ddtagrdn Prototul, Src. Purt; bwt口匚(665, Bit Port:107)source port: bootpcD«stirtatior port: hootps (

2、67)Length： 306d ch«cksun: 0x27 5 3 al i dation d1 sab l«djGood dhecksun: Fai itBad Checksum! Faise3 eoctstrap Protocol螂电占Adgtf Lypt: &ix)t Hcqueht 1Hardwar Typ电i trhcrnTHardware acdrcss lengTh: 6Mop5: 0Transactior io： Ox5Cd85alOseconds elapscd: 0ud aooip flags: OkQOOC Cunlcist)Client I

3、P address: 192,L6£.1.102 192A68-1.1D2JYour (client) IP address: 0.0. D«0 (0.0. D. 0)yp,T server ip address.： o.o.o. D (o. 0. a. )Relay gent IP Address: 0.1。. 0 (0.0,0.0)client mac 期dre”： 70;fr；ee;b5 C70;f 1;al;F7:ee;b5>client Prewarpadding? ooooaooooooooaoaooooerver host name net giver日

4、ooi file fine ixjc givenMagic cwkifl: (QK)0 option: <t-5J, 1 -1) oikp Messaqe Typt 二 DHCP Releasein optlontdhcp wrver identifier - 192. IGfl.l. L3 option: tt'-fil, -7) cl i ent identifierEnd optionPadtti 电dhcp有8种类型的报文，每种报文的格式相同，只是报文中的某些字段取值不同 dhcp报文格式基于bootp （引导程序协议）的报文格式? Boot record type为1时

5、表示是 Client的请求，为 2时表示是 Server的应答。? Hardware address typeClient的网络硬件地址类型，1表示Client的网络硬件是10MB的以太网类型? Hardware address lengthClient的网络硬件地址长度，6表示Client的网络硬件地址长度是6bytes （即以太网类型的 6bytes的MAC地址）。MAC地址,也叫硬件地址，是由48比特/bit长（6字节/byte,1byte=8bits）,16进制的数字组成.0- 23位叫做组织唯一标志符（organizationally unique ,是识别LAN （局域网）节点的标

6、识。 24- 47位是由厂家自己分配.其中第40位是组播地址标志位? HOPS跳数，表示当前的DHCP报文经过的 DHCP RELAY(中级)的数目，每经过一个DHCP中继，此字段就会加1,此字段的作用是限制DHCP报文不要经过太多的DHCPRELAY协议规定，当“ hops”大于4 (现在也有规定为 16)时，这个DHCP报文就不能 再进行处理，而是丢弃。? Transaction id事务ID, Client每次发送 DHCP请求报文时选择的随机数，用来匹配 server的响应报文是对哪个请求报文的响应。Client会丢弃" ID不匹配的响应报文。可以总结一下：第一个报文Rela

7、se 的 Transaction ID:0x50488e40第二个报文 discover 的 Transaction ID: 0x71936d7d第三个报文 offer 的 Transaction ID: 0x71936d7d第四个报文 Requst 的 Transaction ID: 0x71936d7d第五个报文 ack 的 Transaction ID: 0x71936d7d.tr ?n'z?k?n处理,办理,执行? Elapsed boot time秒数，用来表示 client开始DHCP请求后的时间流逝秒数 D.J.i'l?ps(时间)消逝，过去elapsed -经过

8、d Eootp flags： 0x0000 Cuni cast)0. ,* ,*. ,*., = Broadcast flag： unicast-000 0000 0000 0000 = Reserved flags: 0x0000? flags标志，在 BOOTP中此字段是保留不用的，在DHCP协议中也只使用了其左边的最高位。? Client self-assigned IPaddress客户机 IP地址? Client IP address server 分配给 client 的 IP 地址10、Next Server to use in bootstrap 服务器 IP 地址11、Rel

9、ay AgentDHCP中继代理 IP地址12、Client hardware address 客户机硬件地址 MAC13、Client hardware address padding 客户机硬件 MAC 填充地址14、Host name服务器的主机名15、Boot file nameClient的启动配置文件名16、Magic cookie是魔术使用cookie是服务器可以知道该用户是否合法用户以及是否需要 重新登录17、t option: (t-53 J=l) dhcp Message Type = dhcp ReleaseOption: C52) DHCP sage TypeLengt

10、h: 1Vai ： 07Dhcp message typecode = 53, length = 1 , value= 1-8,此字段表示 DHCP报文类型18、B option: (054,1-4) dhcp server identifier = L92.1C8,1,1Option : (54) DHCP Server rdlentif nerLength; 4value: GOA80101DHCP sever的报文的类型19、e option： (r=61,1=7) client identifieropti on: (61) Client ident 5f i erLengrh： 7V

11、alue： 0170F1A1F7EEB5Hardware type: EthernetClient MAC address： 70:fl:al:f7:ee:b5 (70:fl;al:f7:ee:b5)End optionPadding客户端的报文的类型完整的DHCP请求过程：释放 PC的 IP 地址 ipconfig release1、DHCP Release0：11 mrdurteClrsbrdlicxl0DOt tilt n*ne Et Haqic f: (Ok) Qpfcian fi-53 1-1 j- OpUdn; ：t=Mia 1=d> OprlflP： Ttl/? End a

12、ptiwiID -Qi ChKckBiiH： (U7S3 %Alidiit.ian diadbltdGoodFifilseRa。ChacksuH： FaIsmBUT。/酰帆。1E/pe】 sxii Reque5r fl) HaraaTE type-: Etbcrnet】K 引 尊 Hqps; flTrantt I an ID: Dx!?O4i&Ae4D手MW- E加电比电 Boarp fl a. , awDDQO (Lni rasr JOj . u *.*.- &-raadczLst f 1: Uhi. EC OMQ gg痔/ U# rugs： MomClififrc IP a

13、dil-cE ; 1SI3 151.1. 1Q2 (192. 1S3.1. 1!> Ycvr (cl rent? I? aOdreas.: ddd.d : “此孰6 Nt®1 "八七IF，闵f0J露 第5。用k力如。> Relay .agajii: IP atWrass,: O.a,00 (.O_O.O> Cliwt hm Address1 7g-rnaisfzeibi ?o；firalif? cii«nm*$步 中起di 闻； mnoociocwcicw040Server hoa-t ruse rot givenDHCP Mrr5nage- T

14、ype .» QmCF ftelEASt DhC*identifier =L 工ClitriT 1 a* nr ifi.tr2、 DHCP discover报文使用的 Broadcastsclwk'w*|vaUa4>rian aM>la4j«K"R工'”卜加.FA15e(J*31 41学曰!Mies b-age t-jrpe , Brwrt Aeqwz-t (.1>N4T曲*。品牌:Hrdwara zddross. lungeh: 0-HCfMi! ClTMa KTla rn5Kond5 dapped. 0 口必由(1"

15、占！ OmMOOClirnr JP dcb-qs; O； D 弧口(口 弧 tkO)¥<w tcHentJ IP fidc-ea-a ; Q. O n D. 0 (J 0，叽崂nut wrvw UP ddroi: ddik。(o. o*.o. aAfillay Z«nr EP addr«ss: fl_O. D.O (D, D_-Q, D)tlianE. Mac ad3g%: 'u JL u :产 Fqo.bl C?i&2f 1 :M.if7m:b()£lf«m h*uesilrution port: boatps夕)L电力

16、翼归JOS- checksum 0x4bf9 1“I1da11ori di sabldgdckI chedisum: False uadi cb'eck'suM! Fai，电3、DHCP offer报文(cisco用单播来实现)Tp-link使用的是组播实现ke- 坨付14AtiX*t3Mncti. I描n CbMSrsiFu- O-etec1c<i d-isahi-KlJ14Hd lI Fftljt sd dwkjM. ralsdl (»£：££力叩 PVof DC4l用不事维电力”；曲邺】Y CO BT-Bi"e ty

17、pr- fthRrnctMir4.r才 Mr”>事"ops" O' so* sfrcottds filabd, Qi BDat*01J00O (araldc itl) Q.Qfl.a (Q-Q,Q,上M- 1khlm3 T*Hz 144,1.14?Mn SFW 3> “"W Oif. n.Q (Dl.QlO. Q) E1，aerr IF Bddresr Q> t. Q>Q OiQ.tLOJ <n*< 07，岫* ?0«n"Q n I 41 if? IM If)cllwrt wAkar-ii addru

18、x. pb£d1®_ 04>DOUK)£fO£MQ£iDOC£>0 Sir1 rtf-nirw! rwl gtileqi,rI, rdM anai： yly/ «Bfl+c cclci CMC) 用Ei Ct->).TnlJ(KP Fmqt Tyw 收伊 中由 0Ptlw; tt.MJi? Server HEITUr - DJLMLL1 皿(TALI*) T»i hM«! opr T-frn: (T-i ,1-s SiJMiflT -匕£ - 2SS.255. 151.0HM&

19、#171;f - 1AL1I1L1.1| ! -Apt twi ; ftTjlT taaupf Sruar - 1U, X<3*-1 rl Ehd。陇如n4、DHCP request报文客户端还没有IP地址用广播Bo?t>trap Pr(rt.GCol LyfML IWE 食。匕E (1)Har ekar« na? Etg-ncrnarcfajrc! 打ldr>fin 1<r>ig£h 电HM 0 iraac11w ii» Cxri93d7d Eece由噂 i«pkd： 0 S-QttTp fl。野.Ov-VTOOBFEdC

20、MM cltmc ;p 35U3； g.Dug.o :心口.口口; 富西clIwiO IP Adof/U CL D-d。(fl-O-O.a)NtiaTH AJdr'a&S . Q,O.工露口.5邙Rdl jy iKHirT if adra&s . 0.0.D.Q CO.O.O.D3C11w< wc *-Q.ri.*l；T7；tt；tl5 例”二犯九找山”elfew hardware address p.MldTna： MmoCMWOMHIKQ Ser h»t ew Et BT¥CH Bqst f i 1< nksr wt 9九kMagic

21、 cookie: (£M)- *pc lar: Ct*H. l»i) 用T>fifl - ChCU a.««L4iTH- Dpcii3fl. CtTlJ-F仁Tse fdfirtrlftdri ope Ion:£* IT) naqb«ist.*d zp Addr«ss - i<U.l£ji.idi2i PpClOA- (c«M JM) OttCF 5<¥tri Dpc5ar- (c»124 1-15) «osr 修例电-,wiM-soBJSitio.il9t

22、f! 'Opt fio<-C.1“Hrf Fully QUhUFIkI IDOfvLn *W1V!.i Qp”目不二(«4D. l«4)i yrKr 唁1号2. »制下 h f"1 Dpt iar: Cc-51,1-1Z J Far aim: er Reeljcsi Liat £M白肛如 dwar« Md/.git p皿O00MMCWK04W3M0?卡 中 hosr r-are mji qt .r由正武 Hie -tin Ert firivenmE" ： (Gk> 口pt 1 cm (t-3 311 -.

23、 J CHCF HU3 JIQ± T jrpe. - JXP 0 13匚B* 七 OpC 1 CH： (Eafll.laf) C 1 liffl idnlfllF, apr 1 Cr't! (T-d. 1-J1) &qLr1"£E3 TP- 132,1E£. 9 , t fi?l apLlcri;1-iS Hgt MJtfia - "We n.-i “Lion;*tnto5 *】势1 1 面Mlfl卡 *，*ir h*'» oprlryi! (i-55sl-12) par*reitr 口wqtt list

24、63;hd Option卜面的这是 UDP的这上的DHCP,客户端发启的bootpc端口是68,目标端口是67用嘲手 mtagiranai iPnotoc。1；，5u Pprt; b口口tpc (08). ttst Fort; IjqdXp% 8，)L*48 Cht-ck?uH'5、SurtE port; bootpc (6K)TimeaAd Ch*C.SlM4 H Al &4 BGOT-SErap Pr-otacolFtig。 T>pd! flOdt Raply (2) 11rp二 f chqrnctH*r0ra<e *ldB3 ”gfth; fl mo; G i

25、r arts a cr 1 on ibl seconds 3 即“& O，iwrp fn守；9kr« Ctr9*dcm)Client IP addresT MM6。U.d。5力W(C.11W I*142.141 riH (1V2. IM 1,102ye-rt 5«"£k if 4ddre»: d，(L。(fld 0.0)iwldiy A9«nt IP1 Addrasfi 2 6. b.9.0 ("一电. ChQjcll*nc; *M£ n”gf： 7t;id ；f71«a；Jbi p&；f

26、 1 n ；ft：«；bf> clicinc土 pdlng. a&UDGOOa&OOOOOOCaQODhast nat gG*Boat file na.口 ngc qivo口 n .6r> l"54.It) e«fzdflrslT1«r 1A2.1.11 骷 Ad41*!*© L»l&» fll M i IhCMF tptmn; a Opt-i nn» Hj fipiign'?Ehd optionFhMlngdilf (t-3,1-4J m5u«mt hm -7

27、，己心高:工qwticr « 192.1Vi8.i.iOm 帆用。K Swir « It；. 14411.1DHCP客户端发起的就 UDP 68端口，而 DHCP server发起的是67的端口。1客户端发出的IP租用请求报文dhcpdiscover: 此为client 开始DHCPi程中的第一个请 求报文DHCP客户机初如化 TCP/IP,通过UDP端口 68向网络中发送一个 DHCP DISCOVER请求租用IP地址。该广播包中的源IP地址为0.0.0.0 ,目标IP地址为255.255.255.255;包中还包含客户机的 MAC地址和计算机名。0.0.0255-255

28、-2 55255ErCP DlSCier - TransaccfOH ID 0M7L93H6Ia Boot str ap ProtocolMessage type: Boot Request (1) Hardware type: Ethernet Hardware address length; 6 Hops: 0Transact1 on ID： 0x71936d7d Eeconds 1apsed: 0+ bootp flags: OxBOOO Ceroadcast) client ip address: 0.0.0.0 (0.0.0.0) your (cHent) IP address: 0

29、,0, 0,0 S.O.C.。) Next server IP address: 0.0.0.0 (Q,0.0,0) Relay agent 工p address ： O.CL。，口 (Q. 0.0,0) client mac address: 70:fl:al:f7:ee:b5 (70:fl:al:f7:ee:b5 clienr hardware Address padding: 00000000000000OOOOOO Server host name nOT given Boot file name not given Magic cooki e:10。日 option:dhcp Mes

30、sage Type - dhcp oiscoveroption: (53) DHCP Message Type Lengrh; 1 value： 01Fi option: (t=6L jl=-7) client identifier Option: (61 Client identifier Length: 7 value： 017OF1a1F7eeb5Hardware type： Ethernetclient mac address: 70:fl;al:f7;ee;b5 (70:fl:al:f7；ee；b5)a option: (t=5O,l=4) Requested ip Address

31、= 192,16&,1.102option： (50) Requested ip AddressLength: 4V3lue： C0A8Q1&6B option: (t=12 J-15) Host Name - 'win-S0B4B461OA11'option: (12) Host NameLength： 15value： 57494E2D534F42343a3436114F4131Fi option: (t=6Of 1=B? vendor class identifier = r,M5FT 5Q option; 16。) vendor cl ass ident

32、ifierLength: 8value: 4D5345542O352E3O-i option: (1=55,1=12) Parareter Request Listoption: (55) Parameter Reque&T ListLength: 12i- option: Ct=S5,l=12) Parameter Request List opti on:Parameter Request l1stLength： 12Value： D1OFO3C62C2E2F1FZ179F92B 1 - subnet Maik 15 = DDinai n Name3 = Router6 = Dom

33、ain Name server44 = NetBIOS over tcp/ip Name server46 = Neteros over tcp -ip Node Type4r = NetBIOS over TCP IP 5cope31 = Perform Router Discover33 - statlc Route121 = classless static Route249 = Pri vane /c 1 assless STatnc Route (Ml匚与crft)43 = vendar-5pecifiic informati on End option2 DHCP回应的IP租用提供

34、报文：dhcpoffer :此为server 对dhcpdiscover 报文的响应报文任何接收到DHCPDISCOVERT播包并且能够提供 IP地址的DHCP服务器，都会通过 UDP 67 给客户机回应一个 DHCPOFFER广播包，提供一个 IP地址。该广播包的源IP地址为DHCP服务器IP,目标IP地址为255.255.255.255;包中还包含提供的IP地址、子网掩 码，网关，DNS及租期等信息。ISZ-lCS-I-lasa.ZSI.JSI_ 255 CXP CHCP Ofr+sr - Transaction I£&S Bootstrap ProtocolMessag

35、e typ: Boot Reply 2)Har d?;are type: ET her netHard?/re address length1 6Hops: 0Transaction 10： Ox71936d7dseconds elapsed: 0+ Bootp flags： 0x8000 (Broadcast)Client IP address: 0.0.0.0 CO.0.0.0)Your (cllent? IP address： 192,168.1,102 (192,168*1.M2)Next server IP address: G.0. 0.。(G+0.0.。)Relay agent

36、IP address: 0.0.0.0 (k 0.0.0)cli ent MAC address: 70:fl:al if7:ee:b5 (70:fl:al:f7:e:b5) C1ienr hardware address padding: 00000000000000000000 server host name not givenBoor file name not givenMagic cookie: (OK)3 Opti on; £t=53=1： DHCP Mesidge Type = DhCP Off arOptJ cm ; f53) DtiCF es sage TypeL

37、ength: 1Value: 02-Opti on : (t=5，*T)DHCn Server Tdcntif i er = 192.1.1Option: (51) DHCP Server Tdentifi erLength: 4Villlfc ： COA3D101- dpi i cn ;亡=5L1一二:IP address Lease Ti mt =2 hoursOption: (51) if Address Lease TimeLength: 4Value： 00031C20-:Option: £tT,1=d) subnet w«k = 2 55. ”5,255,。op

38、tinn: 口) SLihrer 切口二上Length; 4 value; ffffffqo= opii an ; (t=3f 1 =4) Router = J.9W,16S, 1» J.option: RouterLength; 4value: COASDIOl=option:DnnLRi n mam sprvpr « 10?. 168,1.1Option: C6) nonsin Nn? sprverLength: 4valuff： 8A3KoiEnd aptionPadding3客户选择IP租用报文：dhcprequst此为 client 对 dihcpoffer报文的

39、响应DHCPOFFEN,并DHCP服务器提供客户机从不止一台 DHCP服务器接收到提供之后，会选择第一个收到的向网络中广播一个 DHCPREQUES稍息包，表明自己已经接受了一个的IP地址。该广播包中包含 所接爱的IP地址和服务器的IP地址。所有其他的 DHCP服务器撤消它们的提供以便将IP地址提供下一次IP租用请求。HCF DHCP R南翼也EE - TratfU*CTTDfl ZBootp flas: 0x8000 (Broadcastcl-i ent ip addr ess : 0.0. 0.0 (0.0, C,0)Your (cln ent ip address: 0.0.0,0 (0

40、.0.O+ 0>Next server IP address: 0.0.0.0 (0. 0.0.0)Rei ay agent TP address : O. 0.0,0 (0. 0. 0.0)ell ent mac adetres-s : 70:fl: al:f7: ee: b5 (7G ;fl ;al :f 7 :ee:b5)Boot f11q name nor Magic ccoki e ： (ok) option: (t=53J=l) Option: (t-61,1-7) option: 050,1=4) option: (x=54,1=1)givenC11ent hardware

41、 address padding; 00000000000000000000 server host name not given住 B E 不 1+ 田 田dhcp Message Type = dhcp RequestClient identifierrequested ip Address = L92.168.1.102hcp server iderrfi fier = 192-168.1.1Option ; (1-12 J =15J Host Name = "WIN-5OB46461OAl,r option: Ct=&l,1=185 cl1 ent Ruily Qua

42、l if1ed Domain Name option： t=6C,1=&)vendor class identifH er = "m与FT 5.0" opt i on:(工=5511=12 Paraneter Request Li st End optionj option: Ct-53,1-1) dhcp Message Type = dhcp Request option: (51) dhcp Message Type Length: 1 value: OM3 option: <t=61(1=7) cl lent identifier option: (6

43、1) client identifier Length: 7Value! O17OF1A1F7EEG5Hardware type: Ethernetclient mac address: 70:f1:al:f7:ee:b5 (7Q;fl:al:f7:ee:b5) i option: (t-50,1-4) Requested IP Address - 192.16S-1*102option: (50) Requested IP AddressLength: 4Vaiue: c0aB0166opr ion; (t=54,1=4 dhcp server idenTifler = 19乙工1 opti

44、on: (54) dhcp server identifierLength1 4 value: C0AS0101日 Option: (1=12,1=15) Host Name = mwIM-SOB4S461Oa1"option: (12) Host NameLength; 15Value； 57494E2D534F42343834 363L4F4ms opt i on: (t51,1=1S) c 1 i ent Fully qualified Doma-f n NameOption: (£1) client Ful1y QualH fied Domann Name Length; 16Value； C0C0O057494EZD5S4F4?343834363L4F4131 Flags: 0x00。000 一 =Reserved flags: OxOO.D =server ddns: same server updates.T. .0. - Encoding: ascii encoding. .0. = serv«r oyer ri des: no override.0 = Server : C1 i ent a