DHCP報文精細分析-加上wireshark抓包

1、精選文檔 CHCPType - DHCP Ra1 EHCP Ervpr Tdpntdf-ipr = !?, 16R. 1,1 client 1dent1f1er 2、 Hardware address typeClie nt 的網絡硬件地址類型, 1表示Client的網絡硬件是 開始抓報文時首先執(zhí)行的 IPCONFIG/RELEAS命令的作用是用來釋放 IP,這條報文后面 分析，在釋放Ip后執(zhí)行的更新IP命令IPCONFIG/RENEW各發(fā)起一個 DHCP過程，分析從這 里開始。現在，客戶機沒有地址，它就會發(fā)出一個 DHCPDiscover報文，該報文是廣播報文， 所有的具有DHCP Serv

2、er功能的服務器都會收到該報文。 Ei user Datacrati Protocol, sre Port * bootpc C5 boorpc (68) Dtsri nit ion port： b corps W) Length: SOS i Checoum: 3x2753 :、耳 1 i 勺ion disaul edj Goad Checks jit: False* I Bad chectsvm: False H Bootstrap Protocol Message type: Boot Request 1) HaFHwArG typp Ftherript Hardware address

3、 1 ergrii; 6 HQpS； 0 Transaction ID: Dx5O48Be0 +i Boorp flags: Qxoooo Cum cast) Cl lent IP dtkit!、： 192.1C6.1.102 192.103.1.102 Your CclienrJ IP adcrcs: 0,D.0.0 (0,0.0,0J server if addr ! 0.0. D. 0 (0. 0.0. 0) Rd a/ 嗆的 t if address: u.o. u. o (o, o,o. ) MAC ddctJess : 70 ： f 11 al: f 7 1 ee; b5 (70

4、; fl: dl: f 7 : ee .L5) C H ent k ar dvzar e add廠占 paddi ng : 00000000000000000000 Server host nama not giver Boot 1e nane not cin Magic cooki e: 田 option:(t-J3,1-1) Option :(t=$4 .1=4) r+1 option; (t-61,1) Erd Option Paddi ng dhep有8種類型的報文，每種報文的格式相同，只是報文中的某些字段取值不同 dhep報文格式基于bootp （引導程序協(xié)議）的報文格式 1、 Bo

5、ot record type 為1時表示是Client的請求，為2時表示是Server的應答。 可編輯 10MB的以太網類型 3、 Hardware address len gthClie nt 的網絡硬件地址長度，6表示Client的網絡硬件地 址長度是6bytes （即以太網類型的 6bytes的MAC地址）。 MAC地址,也叫硬件地址，是由48比特/bit長（6字節(jié)/byte,1byte=8bits）,16進制的數字組 成.0-23位叫做組織唯一標志符（organizationally unique，是識別LAN （局域網）節(jié)點的 標識。24-47位是由廠家自己分配.其中第40位是組播地

6、址標志位 4、 HOPS跳數，表示當前的 DHCP報文經過的DHCP RELAY （中級）的數目，每經過一 個DHCP中繼，此字段就會加1，此字段的作用是限制 DHCP報文不要經過太多的 DHCP RELAY，協(xié)議規(guī)定，當“ hops ”大于4 （現在也有規(guī)定為16 ）時，這個DHCP報文就 不能再進行處理，而是丟棄。 5、 Transaction id事務ID，Client每次發(fā)送DHCP請求報文時選擇的隨機數，用來匹配 server的響應報文是對哪個請求報文的響應。Client會丟棄“ ID”不匹配的響應報文。 可以總結一下：第一個報文 Relase 的 Transaction ID:0

7、x50488e40 第二個報文 discover 的 Transaction ID: 0 x71936d7d 第三個報文 ofer 的 Transaction ID: 0 x71936d7d 第四個報文 Requst 的 Transaction ID: 0 x71936d7d 第五個報文 ack 的 Transaction ID: 0 x71936d7d .tr?nz?k?n 處理,辦理,執(zhí)行 6、Elapsed boot time秒數，用來表示 client開始DHCP請求后的時間流逝秒數 D.J.il?ps（時間）消逝，過去 elapsed -經過 創(chuàng) Booxp flags: 0 x00

8、00 funi casr） 0=Broadcast fl ag: uni匸寸 * 000 0000 0000 Q00Q = Reserved flags: 0 x0000 精選文檔 19、 可編輯 7、flags標志，在BOOTP中此字段是保留不用的，在DHCP協(xié)議中也只使用了其左邊的 最高位。 8、 Client self-assigned IPaddress 客戶機IP地址 9、 Client/Your IP address server 分配給client的IP地址 10、Next Server to use in bootstrap 服務器IP地址 11、Relay AgentDHCP

9、中繼代理 IP 地址 12、Client hardware address客戶機硬件地址 MAC 13、Client hardware address padding 14、 Host name服務器的主機名 客戶機硬件MAC填充地址 15、Boot file nameClient的啟動配置文件名 16、Magic cookie是魔術使用cookie是服務器可以知道該用戶是否合法用戶以及是否需 要重新登錄 17、 li option：F 1=1) dhcp 制0弓占赴 Type = dhcp r 1 value: 07 Dhcp message typecode = 53 ，length =

10、1 ， value= 1-8 ，此字段表示 DHCP報文類 18、 匚 opTion:,1=4) dhcp server ident-ificr = 192.168.1,1 oplin: (54) DHCP Server identifier Length; 4 value: COAfiQlOL DHCP sever的報文的類型 精選文檔 可編輯 i- opficrn: (t=61 t1-7) c 11 nt i dntifi er option: (61) cl I ent i denfif ier Length： 7 Value： 0170F1A1F7EEB5 Hardware type:

11、 Ethernet 5 (-ib led J Good checks,s tals-ej i ttbmet Hirrt adretf #ngrh： c HOf5 r Q Trattsaerlcrt id： 0.:1口5亠白 目襄51 1pvq： 0 0 S 1(itiiilf1 TrarrBKIItf* ID: 0a71tMd?d Seconds 亡lapsed: 4* - Bdolp IM押-ChlJOQQ CVoJdCut) CllBTt JP adet-Mi-r QO.d (Qf.0iQ) mr OcHlanj ip JkT1H2.16A.jLlOJ (112-16B.ji.lQJJ N

12、rr grvir PP656勺(0i9- Q-l R.l a1 afirTE if jddry CL WO (0. A-Q-* Clim wuC珥hfViLli討口* cHat hv吐wOCOOatKMOMHiOOOOMMO Sv*tr iwi w*e f 那wwi gw fll* rum rui qTi的 raAnei opM；n. Z5 0 刖 CfHlMi (1*1 riM) grw im.jlM.l.1 ffi Option: (tY j0 Domin mne Server - 193.1DB 1. End opt tan 4、DHCP request 報文客戶端還沒有IP地址用廣播

13、：缸 F嘍作T HtirdHiarg addrss-s langrzh: G Hops; 0 TrafibacHan ID; ST章越md sfrcarxls el apsed 0 “ B (t-53,1-1) dhcp Message Type - dhcp Discover optH on: (53) dhcp Message Type Length; 1 value: 01 E optlan: (t-61 J-7 client identifler opfion: (61) client identifier Length: 7 value: 0170F1A1F7EEP5 Hardwar

14、e type: Ethernet Cl ient 甘AC address : 70:fl:a.1: f7:ee: b5 (70 :fl :al:f7 :ee: b) s opfi on: (t=50p 1=4) RequesTed TP Address = 152.16fl. 1.102 optlon: (50) Requested ip Address Length: 4 va.lue: C0A6O166 Opfi on: (t=L2.1=：L5) host Name = *WIN-SOB4S4610A1 opfi Qr； (12) HQ5t N3E宅 Length: 15 Value: 5

15、7494E2D534F42343S34S6514F413L Opfi on: (1=60.1=S) vendor class dencfier = ksfT 5.0 optlor: (60) vendor class 1 dent ifier Length: 8 vilue: 4d53465420552e30 -opfi on: (r=55,1=12) Paramet er Request Li st optl or: (55) pararreter Request Li st Length: 12 T option: (t=55 J=12) Parameter Request List Op

16、tion: (55) PrRequest Li st Length: 12 Value: CK1FO3O62C2E2F1F2179F92B 1 = 5ubner M.ask 15 = Domalr Mane m Router 6 = Domin N3tn電 server 44 = NetBIOS ovr TCP IP Name Server 46 = NetBIOS over tcp/ip Node Type 47 = NetBIOS over tcp/ip scope 31 = Perform Router Di scover mm = static Rouxe 121 - Clisslss

17、 Static Route 249 =classless static Route (Microsoft) 4 3= verdor-specnfi c irrf ormati on end option 2 DHCP 回應的IP租用提供報文：dhcpoffer :此為server對dhcpdiscover報文的響應 報文 任何接收到DHCPDISCOVER 廣播包并且能夠提供 IP地址的DHCP服務器，都會通過UDP 67給客戶機回應一個 DHCPOFFER廣播包，提供一個IP地址。該廣播包的源 IP地址 為DHCP服務器IP，目標IP地址為255.255.255.255;包中還包含提供的 I

18、P地址、 子網掩碼，網關，DNS及租期等信息。 -41E1 A2.-Q2T3-KE! 1AB；. 1.1 55.255-251.235 0HCP Bootstrap Protocol Message type： Eoot Reply (2) Hardware type: Ethernet Hardware address 1 errgth: 6 Hops; 0 Transaction ID! 0 x71936d7d Seconds elapsed: O +i Bootp flags: Ox-8000 BroadcastJ cl-ient ip address; 0- 0* 0.0 (0.0.0

19、 Your (client) IP address： 192.168.1,102 =i Optior i (t=5J(l =1) DHCP M電呀占ag包 Type = DHt Offer option: (53) DnCP Message Type Length: 1 val ue: 02 1 Opt ion:(t-54,-4 DHCP Server identifier - 1 (54) DHCF Server icent i fi er Length： 4 vlue： COASOIOI i Cptior; (t-51-1) IP Address Lease Tirrc - 2 hours

20、 option: (51 ip Address tease rime Length: 4 value； 00001C20 _i cprior : (r-lj 1fl) subnet Mask - 255*255. 2 55.0 upt Ion:(丄)Subnet. Misk Length: 4 value： fffp匚UOO _i Opt i 4 Valup r CGASO101 Option; (t-61 lh4) Douai in N011亡 Server = 192,1,1 option： (6) Domain Name server Length: 4 valuw： C0A8O101

21、End opt i on paddirg 3客戶選擇IP租用報文：dheprequst :此為client 對dihepoffer報文的響應 客戶機從不止一臺 DHCP服務器接收到提供之后，會選擇第一個收到的 DHCPOFFER包, 并向網絡中廣播一個 DHCPREQUEST消息包，表明自己已經接受了一個DHCP服務 器提供的IP地址。該廣播包中包含 所接愛的IP地址和服務器的IP地址。所有其他的 DHCP服務器撤消它們的提供以便將IP地址提供下一次IP租用請求。 # Bootp Fing弓：OxSOOO (Eroadcast) CTient IP address ： 0,0* 0* 0 (,

22、 C, 0, 0) Your (cTient) ip address: (h 0,0.0 (a. 0* 0.0) Next server ip address: 0.0. 0.0 CO- 0. 0. 03 Relay agcrt IP address: 0,0.0,0 (0.0.0.0) client MAC address : 70 :fl: al汁了：歸：b5 70:1:31:f7:e :b5) C lent hardware address paddi ng: 00000000000000000000 Server hosr name rot g i ven Boot file nane

23、 not given Magic cookie: Cok) e option: (t=53,1=1) H option: (t=61J 1=7) i* option: (x-50j 1-4) option: (t=54,1=4) DHCP Message Type = DHCP Request Cl 1 ent iderrtifi er Requested ip Address - 192.1681142 dhcp server工臼世門上計徒廠=丄92.16B. 1.1 SI Option; (T =12,1=15) Host Name - bwlN-5OB4S4eiOAl* t option

24、: (t51,1-IB) c1ient Fully Qualifled Domaln * optior: (t=0,1 =8) vendor cl ass i dentif-ier = msft S.O S Option: (T= 5511=12) Parameter Request Ln End opfion 3 Opti on: (t53,1-L) DHCP Message Type - DHCP Request Opr彳on: (53) dhcp Message Type Length: 1 value: 03 r) optian: (x-61,1-7) client identifie

25、r option: (61) client identifier Length: 7 Value： 0170F1ALF7EEB5 Hardwar e type; etherner Cl lent MAC address: 70:fl:al:f7:ee：b5 (70:Fl:al:f7:ee:b5) opti on: (t=50,1=4)ip Address = 192.168.1.102 option: (50) Requesred HF Address Length: 4 value:匚0A80166 T Opti on： Ct=54 p1=4) DHCP server idenrlfier

26、= L92-16S.L.1 Option: (54) DHCP 5已rver identifier Length: 4 value: C0A8010L d opti on: (t=L2 P1-15) Hast Name = wtNYOEdMFLmvL OptiOn: (L2) host Name Length: Value： 57494 E2D5J4F42313S34 36314F4131 option: (t-81,1=183 client Fully qualified Domain Name opt i on : (01) client Fully Qual if i ed Domain

27、 Marne Lengrh； iq value: 000000574g42D534F42543B3436314F4131 Flags: CxOO cooc ，* = *” Or* Reserved flags: QxOO server DDN5: some server updates 匚ncoding: aecii encoding .0 = server:匚1i err Server overrides: no override a-rr result: 0 PTR-R.R result: 0 cH ent name： WIN-5OB4S461oa1 口 Option: (t-60,1 -

28、fl) Vendor class i dent if i er - msft 5- O opti on: (60) vendor 亡聲占 identif-ler LEngrhi 8 Val ue : 4D53465420352E30 t option: (t=55t1=123 Par ameter Request Li st Opri n: (55) Parameter Request Length; 12 Value: 010F03Q62C2E2F1F2179F92B 1 = Subner Mask 15 = Donain Name 3 - Router 6 = cwmjiin Mdino serv&r 44 = NetBIOS over TCP IP niame Server 40 = NetBIOS over tcp ip Node r/pe 4 DHCP 服務器發(fā)出IP租用確認報文：dhcpack : server對dhcprequst 報文的響應， client收到此報文 后才