Dhcp
PCAP 過濾器如何擷取所有與 DHCP 相關的流量?
據我了解,對於 IPv4,我需要擷取
- UDP 埠 67 和 68,
- ARP,
- ICMP 回應要求和回复,
對於 IPv6,我需要
- UDP 埠 546 和 547,
- 所有與 DHCP 相關的多播地址,
- ICMPv6 鄰居發現。
我想用 tcpdump 或 wireshark 擷取與 DHCP 相關的流量以供以後分析。
雖然我想讓過濾器盡可能具體以獲取一個小的擷取文件,但我不想錯過一些重要的數據包,例如用於驗證 IP 地址尚未被佔用的數據包。
我錯過了什麼嗎?
我選擇了以下 PCAP 過濾器:
( udp and ( port 67 or port 68 ) ) or arp or ( icmp and (icmp[icmptype] == 8 or icmp[icmptype] == 0 ) ) or ( udp and ( port 546 or port 547 ) ) or ( icmp6 and ( ip6[40] == 135 or ip6[40] == 136 ) ) or dst net ff02:0:0:0:0:1:ff00::/104 or dst host ff01::1 or dst host ff02::1 or dst host ff02::1:2 or ( icmp6 and ( ip6[40] == 128 or ip6[40] == 129 ) )前三行擷取 DHCPv4、ARP(重複地址檢測)和 PING。
第四行擷取 DHCPv6,第五到第八行擷取 IPv6 的重複地址檢測。第 9 行為 DHCPv6 代理擷取多播,最後一行用於 PING6。
當然,這將擷取許多與 DHCP 流量無關的數據包。這些必須事後整理。
也許根本不需要 PING 和 PING6 流量。