DHCP报文分析实验报告.docx

DHCP报文分析实验报告 一、实验目的 1、了解DHCP协议的作用； 2、掌握用Wireshark软件对DHCP报文进行抓包； 3、学会分析每一条DHCP报文的内容。 二、实验内容 1、依次执行ipconfig/release和ipconfig/renew命令，观察并分析捕获的报文； 2、再次执行ipconfig/renew命令，观察并分析捕获的报文，并比较与第一次捕获的报文有何不同。 实验过程 实验任务说明 1.1联网并运行SimpleNPTS 软件的PC机； 1.2 DHCP 服务器。 2、实验配置过程 1.1在Windows中的选择“运行”命令，输入“cmd”，进入命令行窗口。 1.2启动Wireshark抓包，显示过滤器设置为bootp，即只捕获DHCP报文。依次运行如下命令： C:/ipconfig/release C:/ipconfig/renew 观察并分析捕获的数据包。 1.3再次运行如下命令： C:/ipconfig/renew 观察并分析捕获的数据包。 1.4捕获数据包如下： 四、实验查看及验证 Release 报文分析： DHCP报文是封装在UDP报文中的，客户端使用UDP端口68，服务器使用UDP端口67。 硬件类型为1,硬件地址长度为6,这表明物理网络是以太网。 跳数为0，表示在同一网络。 事务标识为0xc666。 标志：0，单播方式。 消息类型解析为Boot Request(1)。报文的具体类型在option(53)DHCP Message Type处标示，可以看到这里是DHCP: Release(7)。 客户IP地址：192.168.3.14 你的IP地址：0.0.0.0（是从服务器送回的、分配给客户的IP地址）。 网关IP地址：0.0.0.0 服务器主机名未给出。 引导文件名未给出。 Discover 报文分析： 报文的源IP地址为0.0.0.0，这是合法的源IP地址,但由于这时客户端还没有获得自己的IP地址，只能用此地址表示网络中的一个主机;目的主机是广播地址，这是因为DHCP请求是在物理网络中广播的。 DHCP报文是封装在UDP报文中的，客户端使用UDP端口68，服务器使用UDP端口67。 消息类型解析为Boot Request(1), 表示为引导请求或DHCP请求,这也就是报文的标志字段，表明这是客户端发给服务器端的报文，而报文的具体类型在option(53)DHCP Message Type处标示，可以看到这里是DHCP: Discover(1)。 硬件类型为1,硬件地址长度为6,这表明物理网络是以太网。 由于这是客户端发出的第一次请求——DHCP服务器的报文，所以所有有关IP地址的域都是0.0. 0.0,需要发现服务器来提供。地址域中只有本机的MAC地址有填充。 选项部分有5条内容,其中包含选项的结束标志End(0xff)。需要特别注意的是，所有的选项都是按TLV的格式来组织数据的。在选项55参数请求(ParameterRequest List)中可以看到客户端向服务器请求的参数内容。 Offer 报文分析： DHCPOFFER报文的事务ID和DHCPDISCOVER的事务ID是一样的,表明这是一组关联的DHCP操作。 IP报文是单播的，即DHCP服务器向预分配的IP地址发出提供报文,尽管这时客户端还没有IP地址。 消息类型解析为Boot Reply(2),表示为DHCP响应,即报文的标志字段仅表明这是服务器端发给客户端的报文,而报文的具体类型在选项option(53)DHCP Message Type处标示，可以看到这里是DHCP: Offer(2)。 DHCP服务器分配给客户端的IP地址在Your (client) IP address处给出，这里是192.168.3.14,DHCP服务器的地址在Next server IP address处,为0.0.0.0 接下来在选项中可以看到子网掩码(255. 255. 0. 0)、租期的更新时间、重新绑定时间和租期，还有服务器的IP地址。 Request 报文分析： 客户端的DHCP REQUEST报文是广播的，源IP地址仍然是0.0.0.0，说明客户端还没有得到自己的IP地址。事务ID没有变化，说明这是一组关联的DHCP操作。 消息类型解析为Boot Reques(1)，表示为DHCP请求,表明这是客户端发给服务器端的报文，而报文的具体类型是DHCP: Requst(3). 选项option(50)Request IP Address处给出了客户端希望得到的IP地址192.168.3.14。 ACK 报文分析： 事务ID没有变化，说明这是一组关联的DHCP操作。 消息类型解析为Boot Reply(2)。报文的具体类型是DHCP: