1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> nettverk >> nettverksprotokoller >>

Forstå DHCP-protokollen (del 2)

Hvis du gikk glipp av del en av denne artikkelserien kan du lese
Forstå DHCP-protokollen (del 1)
.

DHCP og Part II

I del en av denne artikkelserien om DHCP vi har sett at denne protokollen er vanligvis aktivert på de fleste nettverk. Dette letter sterkt arbeidsmengden nettverksadministratoren som DHCP vil gi kundene med sentrale konfigurasjonsdetaljer. Detaljer som hva IP-adressen vil være, nettverksmaske og DNS-serverne det bør bruke. Ganske viktig informasjon hvis du ønsker å være i stand til å få tilgang til Internett. Videre har vi dekket noen av de ulike DHCP meldingstyper som du kan støte på et nettverk. Vel i denne delen av artikkelserien vil vi faktisk ser på to av de mer vanlige DHCP meldingstyper som sett fra pakker perspektiv. Det er alltid nyttig å ha en pakke for å se på for å se en protokoller bruk. Dette vil gi deg noen sammenheng, og et referansepunkt.

Ned i ugress

Vel er det nå tid for alles favoritt del! La oss brette opp ermene som det var, og ta en titt på noen faktiske pakker. Å være komfortabel med å se på pakker som de vises på ledningen vil gi et deg et nivå av komfort bør du trenger å nærme pakke analyse. Enten det, eller du er nødt til å kjøpe en veldig dyr protokollanalysator! Med det sagt la oss komme videre med oppgaven. Vær oppmerksom på at jeg vil kommentere på pakken i spørsmålet direkte under det

11: 51:. 04,546875 192.168.1.102.68 > 192.168.1.1.67: [udp sum ok] xid: 0x908759f5 C: 192.168.1.102 vend-rfc1048 DHCP: FORESPØRSEL CID: [eter] 00: 0C: 6e: 8c: d4: 61 HN: "skjønner" FQDN: "don . " VC: "MSFT 5.0" PR: SM + DN + DG + NS + WNS + WNT + VM + RD + SR + T249 + VO (ttl 128, id 30744, len 328)
0x0000 4500 0148 7818 0000 8011 3dd5 c0a8 0166 E..Hx ..... = .... f
0x0010 c0a8 0101 0044
0043 0134 8ec4 0101
0600 ..... DC4 ... ...
0x0020 9087 59f5 0000 0000 c0a8 0166 0000 0000 ..Y ........ f ....
0x0030 0000 0000 0000 0000 000c 6e8c d461 0000 ....... ... n..a ..
0x0040 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0050 0000 0000 0000 0000 0000 0000 0000 0000. ...............
0x0060 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0070 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0080 0000 0000 0000 0000 0000 0000 0000 0000 ................ < BR> 0x0090 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x00a0 0000 0000 0000 0000 0000 0000 0000 0000 ........... .....
0x00b0 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x00c0 0000 0000 0000 0000 0000 0000 0000 0000 ..... ...........
0x00d0 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x00e0 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x00f0 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0100 0000 0000 0000 0000 6382 5363 3501 033d ........ c.Sc5 .. =
0x0110 0701 000c 6e8c d461 0c03 646f 6e51 0700 .... n..a..donQ ..
0x0120 0000 646f 6e2e 3c08 4d53 4654 2035 2e30 ..don <...!. .MSFT.5.0
0x0130 370B 010f 0306 2c2e 2f1f 21f9 2bff 0000 7 ....., /+ ...
0x0140 0000 0000 0000 0000 ........

Alright da, i pakken over oss kan vi se at UDP header starter på de understrekede byte av 0044. Fra det videre har vi BOOTP eller bootstrap protokollen starter på de understrekede to bytes av 0101. Vi i stor grad har egentlig ikke diskutert forholdet som BOOTP har med DHCP som mange synes det er ganske forvirrende å si det mildt. Det er et symbiotisk en som i realiteten BOOTP ber for klienten konfigurasjon som IP-adresse og slikt fra DHCP-serveren. Med det sagt, i virkeligheten har du pakker som den ovenfor som virkelig inneholder BOOTP protokolldata, og ikke den forventede DHCP en. Skjønt, som du kanskje har gjettet det, er denne informasjonen sendes til DHCP-serveren.

Vi kan se, hvis vi går fra høyre til venstre i ovennevnte pakke, som vi starter med vår pakke tidsstempel. Dette etterfølges av kildeadresse /port og deretter destinasjonsadressen /port. UDP sjekksum beregningen er "ok" som sett ovenfor. Neste vi har vår "xid" antall 0x908759f5. Dette er i utgangspunktet transaksjonsnummeret, mye som det som finnes i DNS for å holde styr på spørsmål og svar. Da har vi klienten IP-adressen 192.168.1.102. Nå leverandøren RFC 1048, og DHCP meldingstype. Neste opp er klienten id sett i "CID". Sett neste er maskinvaretypen [eter]. Følgende er klienten MAC-adressen bemerket av de seks oktetter av hex 00: 0C: 6e: 8c: d4: 61. De neste feltene er ganske selvinnlysende som til mening. Mye som DNS dette er en tett protokoll som er generelt best brutt ut ved hjelp av en protokoll analysator. På dette notatet la oss ta en titt på serveren respons sett i pakken under

11: 51:. 04,562500 192.168.1.1.67 > 192.168.1.102.68: [udp sum ok] xid: 0x908759f5
C: 192.168.1.102 Y: 192.168.1.102
vend-rfc1048 DHCP: ACK
SID: 192.168.1.1
LT: 86400
SM: 255.255.255.0
DG: 1
92.168.1.1 NS: 24.153.22.67,24.153.23.66 (TTL 64 , id 0, len 576)
0x0000 4500 0240 0000 0000 4011 f4f5 c0a8 0101 E .. @ .... @ .......
0x0010 c0a8 0166 0043 0044 022c 2636 0201 0600 ... FCD, & 6 ....
0x0020 9087 59f5 0000 0000 c0a8 0166 c0a8 0166 ..Y ........ f ... f
0x0030 0000 0000 0000 0000 000c 6e8c d461 0000. ......... n..a ..
0x0040 0000 0000 0000 0000 0000 0000 0000 0000 ................

( ovennevnte pakke er blitt forkortet av meg for korthets skyld)

First off vær oppmerksom på at for ovennevnte pakke vi ser DHCP-serveren svarer tilbake til klienten vil si: den første pakken i denne artikkelen. Jeg vil ikke gå tilbake igjen og dekke de samme feltene som jeg gjorde ovenfor, bortsett fra for de som er annerledes. Du bør merke seg at xid antallet som understreket ovenfor er faktisk det samme som DHCP klient pakke sett over denne pakken. Det, som nevnt, er en måte for DHCP-klient for å holde orden på ulike forespørsler. Etter at verdien ser vi klienten IP-adressen som gjorde en forespørsel fra DHCP-serveren med IP-adressen som sett i denne pakken er 192.168.1.1 etter at vi har "Y: 192.168.1.102" som bryter ut til kundene IP-adresse. I dette tilfellet er den samme IP-adresse som klient som har gjort den opprinnelige forespørsel.

Neste ser vi DHCP: ACK understreket ovenfor. Dette betegner DHCP meldingstype, eller også kjent som Option 53. Etter dette har vi "SID: 192.168.1.1", og dette er serveren identifikator. Med andre ord IP-adressen til DHCP-serveren. Neste vi har vår "LT: 86400" som er vår leietid for IP-adressen blir bekreftet for DHCP-klienten av DHCP-serveren. Det 86 400 er en enhet målt i sekunder, og i virkeligheten er 24 timer. Etter det er "SM: 255.255.255.0" som er relatert til en nettverksmaske. Nå har jeg brukt en god del tid å kjøre "DG: 1" -feltet til bakken og har funnet det å være relatert til "default gateway". Når det er sagt ville jeg trodde dette ville listen hele IP-adressen til gatewayen. Skulle noen av dere har ytterligere informasjon om dette kan du gjerne send meg en epost. Som du kan se, noen ganger når det er noe du ikke vet det er best å bruke ressurser som vår søsterside Sikkerhetsforum.

Vel som du kan se nå, er DHCP faktisk en ganske involvert protokoll når man faktisk grave seg inn på pakkenivå. Totalt er det kanskje ikke virke komplisert, men når du begynner å lese opp på det kan du raskt se det er. Mye som NetBIOS, stille vann ofte stikker dypt. Jeg håper du likte denne to del serier på DHCP og som alltid jeg tar gjerne imot tilbakemeldinger.

Hvis du gikk glipp av del en av denne artikkelserien kan du lese
Forstå DHCP-protokollen (Part 1)
.