DHCP协议分析实验

一、收集DHCP报文Trace

图1中DHCP协议的前两个步骤（使用Discover和Offer消息）是可选的（在需要新的IP地址或需要更新现有DHCP地址时不一定需要使用它们）；而Request和ACK消息则是必需的。为了收集包含所有四种DHCP消息类型的Trace，我们需要在Mac、Linux或Windows上执行一些命令行操作。

在Mac上：

1.在终端窗口/Shell中输入以下命令：

% sudo ipconfig set en0 none

其中en0（在此示例中）是你要使用Wireshark捕获数据包的接口。你可以通过选择Capture->options在Wireshark中轻松找到接口名称列表。此命令将取消配置网络接口en0。

2.启动Wireshark，在你在步骤1中取消配置的接口上捕获数据包。

3.在终端窗口/Shell中输入以下命令：

% sudo ipconfig set en0 dhcp

这将导致DHCP协议从DHCP服务器请求并接收IP地址和其他信息。

4.等待几秒钟后停止Wireshark捕获。

在Linux机器上：

1.在终端窗口或Shell中输入以下命令：

sudo ip addr flush en0

sudo dhclient -r

其中，en0（在本例中）是你想使用Wireshark捕获数据包的接口。你可以在Wireshark中通过选择“Capture -> Options”来轻松找到接口名称列表。此命令将删除接口的现有IP地址，并释放任何现有的DHCP地址租约。

2.启动Wireshark，捕获在步骤1中取消配置的接口的数据包。

3.在终端窗口或Shell中输入以下命令：

sudo dhclient en0

其中，en0与上述一样，是你当前捕获数据包的接口。这将导致DHCP协议从DHCP服务器请求并接收IP地址和其他信息。

4.等待几秒钟后停止Wireshark捕获。

在Windows上：

1.在命令行窗口中输入以下命令：

ipconfig /release

此命令将使你的电脑放弃其IP地址。

2.启动Wireshark。

3.在命令行窗口中输入以下命令：

ipconfig /renew

这将导致DHCP协议从DHCP服务器请求并接收IP地址和其他信息。

4.等待几秒钟后停止Wireshark捕获。

在步骤4中停止Wireshark捕获后，你应该在Wireshark窗口中查看一下，确保你实际上已经捕获了我们要查找的数据包。如果你在显示过滤器字段中输入“dhcp”（如图2左上角浅绿色字段所示），则你的屏幕应该与下图类似。 

二、DHCP协议探索

让我们先看一下DHCP Discover消息。找到Trace数据中包含第一个Discover消息的IP数据报。

Q1.这个DHCP Discover消息是使用UDP还是TCP作为底层传输协议发送的？

UDP

Q2.包含Discover消息的IP数据报中使用的源IP地址是什么？这个地址有什么特殊之处？请解释。

0.0.0.0

因为客户端尚未分配IP地址，因此无法使用有效的源IP地址。

Q3.包含Discover消息的数据报中使用的目的IP地址是什么？这个地址有什么特殊之处？请解释。

255.255.255.255

255.255.255.255是一个本地广播地址，它只能在本地网络上使用，不能通过路由器转发到其他网络。当DHCP客户端使用这个地址作为目的地址发送Discover消息时，它将会被发送到本地网络上的所有设备，包括DHCP服务器。因此，使用255.255.255.255作为目的IP地址是一种广播机制，它确保了DHCP客户端能够与DHCP服务器通信，以获取IP地址和其他网络配置信息。

Q4.DHCP Discover消息的事务ID字段中的值是多少？

0x1a89fbb5

Q5.现在检查DHCP Discover消息中的选项字段。作为这个DHCP事务的一部分，客户端建议或请求从DHCP服务器接收的五个信息（除了IP地址）是什么？

现在让我们看一下DHCP Offer消息。在你的Trace数据中找到包含DHCP Offer消息的IP数据报，该消息是作为对你在问题Q5中研究的DHCP Discover消息的响应由DHCP服务器发送的。

Q6.你怎么知道这个Offer消息是作为对你在问题Q5中研究的DHCP Discover消息的响应而发送的？

其事务ID与对应Discover的事务ID相同，都是0x1a89fbb5。

Q7.包含Offer消息的IP数据报中使用的源IP地址是什么？这个地址有什么特殊之处？请解释。

192.168.1.1

192.168.1.1是一个常见的私有IP地址，通常用作家庭或小型办公室网络中的路由器或网关的IP地址。这个地址没有特殊之处，它只是一个私有IP地址，不能从公共互联网访问。在DHCP过程中，DHCP服务器使用它作为源IP地址，以便客户端知道响应来自哪个DHCP服务器，并可以将其用于后续通信。

Q8.包含Offer消息的数据报中使用的目的IP地址是什么？这个地址有什么特殊之处？请解释。

255.255.255.255

包含Offer消息的IP数据报中使用的目的IP地址255.255.255.255表示将消息发送到所有网络上的设备，以便所有DHCP客户端都能接收到DHCP服务器的响应。

Q9.现在检查DHCP Offer消息中的选项字段。DHCP服务器在DHCP Offer消息中向DHCP客户端提供的五个信息是什么？

一旦收到 DHCP Offer 消息，客户端可能已经拥有进行下一步所需的所有信息。但是，客户端可能已经从多个 DHCP 服务器接收到 OFFER，因此需要第二阶段，需要两个强制性的消息 - 客户端到服务器的 DHCP Request 消息和服务器到客户端的 DHCP ACK 消息。但至少客户端知道那里至少有一个 DHCP 服务器，让我们来看一下 DHCP Request 消息，记住，虽然我们已经在Trace中看到了 Discover 消息，但并不总是在发送 DHCP 请求消息时出现。

在Trace中找到包含第一个 DHCP Request 消息的 IP 数据报，并回答以下问题。

Q10. Trace中包含第一个 DHCP Request 消息的 IP 数据报中的 UDP 源端口号是什么？使用的 UDP 目的端口号是什么？

源端口号：68

目的端口号：67

Q11.包含此请求消息的 IP 数据报中的源 IP 地址是什么？这个地址有什么特别之处？请解释。

0.0.0.0

因为客户端尚未分配IP地址，因此无法使用有效的源IP地址。

Q12.包含此请求消息的数据报中使用的目标 IP 地址是什么？这个地址有什么特别之处？请解释。

255.255.255.255

255.255.255.255是一个本地广播地址，它只能在本地网络上使用，不能通过路由器转发到其他网络。当DHCP客户端使用这个地址作为目的地址发送Requst消息时，它将会被发送到本地网络上的所有设备，包括DHCP服务器。因此，使用255.255.255.255作为目的IP地址是一种广播机制，它确保了DHCP客户端能够与DHCP服务器通信，以获取IP地址和其他网络配置信息。

Q13.DHCP Request 消息中事务 ID 字段的值是多少？它是否与之前的 Discover 和 Offer 消息的事务 ID 匹配？

0x1a89fbb5

匹配

Q14.现在检查 DHCP Discover 消息中的选项字段，并仔细查看“Parameter Request List”。 DHCP RFC 指出： “客户端可以通过包括 'parameter request list' 选项来通知服务器客户端感兴趣的配置参数。此选项的数据部分明确列出了按标签号请求的选项。” 在这个 Request 消息中的“parameter request list”选项中和之前的 Discover 消息中相同的列表选项之间有什么区别？

在Discover消息中，Parameter Request List用于告知DHCP服务器客户端所需的DHCP选项。这些选项包括客户端需要的IP地址、子网掩码、网关、DNS服务器等。DHCP服务器可以根据Parameter Request List中的选项提供相应的配置信息。

在Request消息中，Parameter Request List则是用于确认哪些DHCP选项已经成功被客户端获取。这样可以帮助DHCP服务器确定哪些选项已经被成功分配，哪些选项需要重新分配或者更新。

在Trace中找到包含第一个 DHCP ACK 消息的 IP 数据报，并回答以下问题。

Q15.包含此 ACK 消息的 IP 数据报中的源 IP 地址是什么？这个地址有什么特别之处？请解释。

192.168.1.1

192.168.1.1是一个常见的私有IP地址，通常用作家庭或小型办公室网络中的路由器或网关的IP地址。这个地址没有特殊之处，它只是一个私有IP地址，不

能从公共互联网访问。在DHCP过程中，DHCP服务器使用它作为源IP地址，以便客户端知道响应来自哪个DHCP服务器，并可以将其用于后续通信。

Q16.包含此 ACK 消息的数据报中使用的目标 IP 地址是什么？这个地址有什么特别之处？请解释。

255.255.255.255

包含ACK消息的IP数据报中使用的目的IP地址255.255.255.255表示将消息发送到所有网络上的设备，以便所有DHCP客户端都能接收到DHCP服务器的响应。

Q17.DHCP ACK 消息中的哪个字段（在 Wireshark 窗口中指示）包含已分配的客户端 IP 地址的名称是什么？

Your(client)IP address

Q18.DHCP 服务器分配给客户端的 IP 地址的“租用时间”是多长时间？

86400s(1 day)

Q19.DHCP ACK 消息中 DHCP 服务器返回给 DHCP 客户端的从客户端到互联网其他部分的默认路径上第一个跳转路由器的 IP 地址是什么？

DHCP服务器192.168.1.1