局域网DHCP与ARP协议监测与分析

局域网DHCP与ARP协议监测与分析2024年10月

目录TOC\o"1-3"\h\u631一、实验目的与背景 3271361．实验目的 3173242．背景 3216993．任务要求 36747二、实验环境 395741．操作系统 3239312．软件版本 391003．模拟设备 422686三、实验说明 4279161．实验步骤 4308512．Python工具运行步骤 1143013．数据包分析 126419（1）Discover报文 1218754（2）Offer报文 1226717（3）Request报文 137175（4）ACK报文 1311848四、实验总结 14

实验目的与背景实验目的通过网络模拟器搭建一个具备DHCP的局域网络，然后使用wireshark及python对数据流进行监听分析，了解局域网络的基本构成结构，深入分析和了解DHCP报文、ARP报文的组成结构。背景DHCP（动态主机配置协议）是网络中用于动态分配IP地址的协议，能够简化网络配置过程。ARP（地址解析协议）则用于映射网络层地址（IP地址）到数据链路层地址（MAC地址）。通过监测这两种协议，可以深入理解网络设备间的通信机制。任务要求使用CiscoPacketTracer搭建局域网络，模拟DHCP请求及DHCP下发。使用wireshark监听DHCP的Discover、Offer、Request和ACK消息。Python分析wireshark监听的网络报文，判断主机是否在线。实验环境操作系统window11软件版本CiscoPacketTracer(由于未找到可抓包得CiscoPacketTracer，本次实验使用华为ENSP模拟器开展)ENSP1.3.00.100Python3.8Scapy2.6.0模拟设备AR1200*1，用于开启DHCP服务，动态下发IP地址Switch*1，用于连接AR与若干PC主机PC若干网络拓扑：图SEQ图\*ARABIC1实验拓扑图实验说明实验步骤新建网络拓扑结构，按照实验规划，新增一台AR1220路由器、1台S5700交换机和两台PC设备，使用Copper线缆将设备进行连接，开启全部设备。图SEQ图\*ARABIC2实验拓扑图配置PC1、PC2主机的IP地址。图SEQ图\*ARABIC3PC1静态地址图SEQ图\*ARABIC4PC2静态地址配置wireshark地址，通过ENSP软件，点击设置-工具设置，指定本机中Wireshark的安装路径。图SEQ图\*ARABIC5配置wireshark允许抓包开始数据抓包测试，点击ENSP中的数据抓包，指定设备为LSW1，接口选择GE0/0/1，抓取PC1数据包。图SEQ图\*ARABIC6选择抓包接口开启抓包后，可见wireshark中存在数据包响应，说明ENSP对接wireshark抓包正常。图SEQ图\*ARABIC7测试抓包配置DHCP，进行后续DHCP抓包实验。使用路由器AR1的CLI命令行，配置DHCP。图SEQ图\*ARABIC8配置路由器开启DHCP修改PC1的网络配置为DHCP，查看IP地址已经获取。图SEQ图\*ARABIC9客户端配置动态获取IP图SEQ图\*ARABIC10动态获取的IP地址查看wireshark抓包记录，存在DHCP报文（Discover、Offer、Request、ACK）。通过报文查看，PC1已通过DHCP服务正确获取IP地址192.168.1.253。图SEQ图\*ARABIC11DHCP报文段保存wireshark报文为本地PCAP文件，进行后续分析实验。图SEQ图\*ARABIC12保存抓包数据新建dhcp_monitor项目，解释器为python3.8图SEQ图\*ARABIC13python分析报文代码运行python代码，程序会依次读取数据包内容，识别为dhcp报文时，会按照报文顺序，输出包类型、客户端MAC、客户端IP以及请求的服务地址。图SEQ图\*ARABIC14python运行分析报文结果识别为ARP报文时，会输出MAC及IP信息，当识别为ARPReply报文时，会输出主机x.x.x.x存活。图SEQ图\*ARABIC15python主机存活分析结果Python工具运行步骤编辑dhcp_monitor.py文件，修改read_pcap_file的路径为实际报文路径。图SEQ图\*ARABIC16python运行说明使用cmd执行pythondhcp_monitor.py即可运行。数据包分析通过wireshark打开抓包的数据dhcp.pcapng进行DHCP消息跟踪分析。Discover报文首先当客户端PC将网卡设置为自动获取IP地址时，PC机充当DHCP客户端，通过广播DHCPDiscover报文的方式，在网络中寻找可用的DHCP服务器。DHCP客户端广播报文中，可以查看到客户端的MAC地址为：54:89:98:de:07:64。图SEQ图\*ARABIC17DHCP客户端广播报文Offer报文DHCP服务器收到客户端的Discover报文后，会向网络广播一个DHCPOffer报文，从报文中可以看出，其包含了分配给客户端的IP地址，以及需要接受该IP的终端MAC地址。通过Offer报文查看，DHCP服务器分配了192.168.1.253给MAC地址为54:89:98:de:07:64的终端设备。图SEQ图\*ARABIC18Offer报文分配IPRequest报文DHCP客户端在收到DHCP服务器广播的Offer报文后，会选择DHCP服务器下发的IP信息，并向该台DHCP服务器发送request报文，请求获取这个IP的使用权限。通过报文查看MAC地址为54:89:98:de:07:64的终端设备向192.168.1.254这台DHCP服务器申请获取192.168.1.253这个IP的使用权限。图SEQ图\*ARABIC19Request报文申请IPACK报文DHCP服务器接受的客户端的Request报文申请信息后，确认允许使用该IP，同时，由DHCP服务器下发一个ACK报文给客户端，其中包含客户端请求的IP、MAC、DNS等信息。通过报文查看，DHCP服务器允许客户端使用IP192.168.1.253，子网掩码为255.255.255.0。图SEQ图\*ARABIC20DHCP服务器回复ACK报文实验总结通过本次实验在ENSP模拟器上模拟了DHCP客户端和DHCP服务器之间的通信过程，分析了DHCP协议中的四个重要阶段：Discover、Offer、Request和Acknowledge。在实验中，我们观察到客户端首先广播Discover报文，服务器回应Offer报文，客户端选择并请求特定配置，最终服务器确认并发送Acknowledge报文完