Dhcp

PCAP 過濾器如何擷取所有與 DHCP 相關的流量?

  • August 23, 2015

據我了解,對於 IPv4,我需要擷取

  • UDP 埠 67 和 68,
  • ARP,
  • ICMP 回應要求和回复,

對於 IPv6,我需要

  • UDP 埠 546 和 547,
  • 所有與 DHCP 相關的多播地址,
  • ICMPv6 鄰居發現。

我想用 tcpdump 或 wireshark 擷取與 DHCP 相關的流量以供以後分析。

雖然我想讓過濾器盡可能具體以獲取一個小的擷取文件,但我不想錯過一些重要的數據包,例如用於驗證 IP 地址尚未被佔用的數據包。

我錯過了什麼嗎?

我選擇了以下 PCAP 過濾器:

( udp and ( port 67 or port 68 ) )
or arp
or ( icmp and (icmp[icmptype] == 8 or icmp[icmptype] == 0 ) )
or ( udp and ( port 546 or port 547 ) )
or ( icmp6 and ( ip6[40] == 135 or ip6[40] == 136 ) )
or dst net ff02:0:0:0:0:1:ff00::/104
or dst host ff01::1
or dst host ff02::1
or dst host ff02::1:2
or ( icmp6 and ( ip6[40] == 128 or ip6[40] == 129 ) )

前三行擷取 DHCPv4、ARP(重複地址檢測)和 PING。

第四行擷取 DHCPv6,第五到第八行擷取 IPv6 的重複地址檢測。第 9 行為 DHCPv6 代理擷取多播,最後一行用於 PING6。

當然,這將擷取許多與 DHCP 流量無關的數據包。這些必須事後整理。

也許根本不需要 PING 和 PING6 流量。

引用自:https://serverfault.com/questions/714506