Wireshark对DHCP建立过程进行抓包分析

PPPoE建立过程抓包分析准备工作：1.开启wireshark，设置过滤条件PPPoed or pppoes，点击apply应用2.点击PPPoE宽带进行连接(至于如何创建连接什么的自己百度去)3.连接完成，即可进行抓包分析了。

PPPOE建立过程抓包分析1、发现阶段Discovery1.PADI：客户机以广播的形式发送PADI数据包，请求建立链路。

2.PADO:访问集中器AC收到请求后会以单播的方式发送一个PADO数据包对客户机做出应答。

3.PADR：客户机收到PADO后，选择其中一个AC，然后客户机根据选中的AC 的MAC地址向AC单播发送一个PADR数据包，表示请求该AC作为服务器。

4.PADS：AC收到客户机发送的PADR数据包后，会创建一个唯一的会话ID，并单播一个PADS数据包给客户机作为响应。

2、会话阶段PPP1.协商阶段：客户机和AC要互相发送LCP Request给对方，来确认发送的最大传输单元、是否认证和采用何种认证方式的协商。

(1)确定采用认证方式(2)确定最大传输单元2.认证阶段：双方通过LCP确定好认证方式后，就立刻进行认证，认证完成后才可以进行之后的网络层的协商。

该过程可以抓包到PPPOE拨号的用户名及加密后的密码。

3.IPCP协商阶段：双方协商IP服务阶段的一些要求，已决定双方都能接收的约定。

双方的协议是通过报文中的Option进行协商的，每一个Option都是一个需要协商的问题。

则个过程一般协商多次。

最后双方都需要答复Configure_ACK的同意报文。

(1)客户机同意报文A.AC发起申请RequestB.客户机确认，发起ACK报文(2)AC同意报文（该过程可能需要很多次协商，下面只列举失败和成功各一次）：A.客户机发起申请RequestB.AC拒绝RejectC.客户机重新发起新的申请RequestD.AC确认，发送ACK报文当双方都发完ACK报文后，用户确认收到，获得IP和DNS Server IP，PPPoE即拨号成功。

【Wireshark抓包工具的工作原理、特点和应用场合】一、Wireshark抓包工具的工作原理1. 数据包捕获：Wireshark通过网络接口捕获网络上的数据包，可以实时监控数据流量，并将其转化成可读的数据格式。

2. 数据包分析：Wireshark可以对捕获的数据包进行解析和分析，包括源位置区域、目的位置区域、协议类型等信息，方便用户理解和判断网络通信情况。

3. 数据包展示：Wireshark提供了直观的图形化界面，将捕获的数据包以列表和流的形式展示，方便用户观察和分析。

二、Wireshark抓包工具的特点1. 多协议支持：Wireshark支持多种网络协议的捕获和解析，如TCP、UDP、IP、HTTP等，可以满足复杂网络环境下的需求。

2. 灵活性：Wireshark可以根据用户需求进行过滤和搜索，筛选出特定的数据包进行分析，有利于快速定位网络问题。

3. 开源免费：Wireshark是一款开源软件，用户可以免费获取和使用，而且有强大的社区支持，可以及时获得更新和技术支持。

4. 跨评台性：Wireshark支持多种操作系统，包括Windows、Linux、macOS等，方便用户在不同评台上使用和部署。

三、Wireshark抓包工具的应用场合1. 网络故障排查：Wireshark可以帮助网络管理员分析网络故障原因，包括丢包、延迟、网络拥堵等问题，并提供有效的解决方案。

2. 安全监测：Wireshark可以监控网络通信情况，检测潜在的网络攻击，帮助用户保护网络安全。

3. 网络性能优化：Wireshark可以分析网络通信情况，帮助用户优化网络性能，提高数据传输效率。

4. 教学和研究：Wireshark可以作为教学和研究工具，帮助用户深入理解网络通信原理和技术，提高网络技术水平。

四、个人观点和理解Wireshark作为一款强大的网络抓包工具，具有丰富的功能和灵活的应用方式，可以帮助用户解决各种网络问题，提高网络管理效率和安全性。

wireshark抓包实验报告Wireshark抓包实验报告1. 实验简介本次实验旨在通过使用Wireshark软件进行网络抓包，深入了解网络通信过程中的数据传输和协议交互。

通过分析抓包数据，我们可以了解网络流量的组成、协议的运作方式以及网络安全的相关问题。

2. 实验准备在进行实验之前，我们需要准备一台运行Wireshark软件的计算机，并连接到一个网络环境中。

Wireshark是一款开源的网络协议分析工具，可以在各种操作系统上运行。

安装并配置好Wireshark后，我们就可以开始进行抓包实验了。

3. 实验步骤3.1 启动Wireshark打开Wireshark软件，选择需要抓包的网络接口。

Wireshark会监听该接口上的所有网络流量，并将其显示在界面上。

3.2 开始抓包点击“开始”按钮，Wireshark开始抓取网络数据包。

此时，我们可以看到界面上实时显示的数据包信息，包括源地址、目标地址、协议类型等。

3.3 过滤抓包数据由于网络流量非常庞大，我们可以使用过滤器来筛选出我们感兴趣的数据包。

Wireshark提供了丰富的过滤器选项，可以根据协议、源地址、目标地址等条件进行过滤。

3.4 分析抓包数据选中某个数据包后，Wireshark会显示其详细信息，包括协议分层、数据字段等。

通过分析这些信息，我们可以了解数据包的结构和内容，进一步了解网络通信的细节。

4. 实验结果与讨论在实验过程中，我们抓取了一段时间内的网络流量，并进行了分析。

通过对抓包数据的观察和解读，我们得出了以下几点结果和讨论：4.1 协议分层在抓包数据中，我们可以清晰地看到各种协议的分层结构。

从物理层到应用层，每个协议都承担着不同的功能和责任。

通过分析协议分层，我们可以了解协议之间的关系，以及它们在网络通信中的作用。

4.2 数据传输过程通过分析抓包数据，我们可以追踪数据在网络中的传输过程。

我们可以看到数据包从源地址发送到目标地址的路径，了解中间经过的路由器和交换机等设备。

DHCP完整过程详解及Wireshark抓包分析DHCP，Dynamic Host Configuration Protocol，动态主机配置协议，简单来说就是主机获取IP地址的过程，属于应⽤层协议。

DHCP采⽤UDP的68（客户端）和67（服务器）端⼝进⾏通信。

【过程】DHCP过程主要为DHCP Discover-->DHCP Offer-->DHCP Request-->DHCP Ack四个过程。

通过Wireshark抓取DHCP获取IP过程的数据报⽂。

1、开Wireshark抓包2、PC当前已有IP，使⽤cmd命令释放IP（ipconfig /release)，并重新获取IP（ipconfig /renew）3、停⽌抓包，使⽤bootp过滤报⽂。

4、可以看到图中的5个报⽂，其中DHCP Release报⽂为PC释放IP时发出的报⽂。

获取IP时，PC会发送DHCP Discover⼴播报⽂，由于当前PC没有IP，故源IP为0.0.0.0；特别要注意到的是，PC会随机出⼀个Transaction ID，如果之后收到的Offer报⽂中的Transaction ID与PC模拟出的不同，PC会将该Offer报⽂直接丢弃。

DHCP Offer报⽂DHCP Request报⽂DHCP Ack报⽂【模拟服务器发送Offer报⽂的过程及注意事项】1、保证服务器与客户端的连通性2、准备好⼀个Offer报⽂（可编辑）3、使⽤Wireshark抓取客户端发出的Discover报⽂，确定当前客户端随机出的Transaction ID4、更改Offer报⽂中的Transaction ID与Discover报⽂中⼀致5、使⽤发包软件发送Offer报⽂注：Transaction ID【地址租期】DHCP服务器提供的每个IP地址都有相应的租⽤期，在Offer报⽂中的IP Address Lease Time中可以看到。

实验7_使用Wireshark分析DHCP协议DHCP（Dynamic Host Configuration Protocol）是一种网络协议，用于动态分配IP地址、子网掩码、默认网关、DNS服务器等网络配置信息给计算机设备。

在本实验中，我们将使用Wireshark工具来分析DHCP协议的工作流程和数据包的结构。

首先，我们需要准备一个局域网环境，并在其中设置一个DHCP服务器和至少一个客户端设备。

DHCP服务器负责为客户端设备分配IP地址和其他网络配置信息。

客户端设备在启动时会发送DHCP请求，以获取分配给它的IP地址和其他配置信息。

使用Wireshark进行DHCP协议分析的步骤如下：1. 打开Wireshark软件，并选择适当的网络接口进行抓包。

在“捕获”选项卡中，选择正确的网络接口，然后点击“开始”按钮开始抓包。

2.在客户端设备上，启动DHCP服务发现过程。

客户端将发送一个DHCP发现广播消息，以寻找可用的DHCP服务器。

3. 在Wireshark中，我们可以看到DHCP发现消息的数据包。

可以通过在过滤器栏中输入“bootp”或“dhcp”来过滤只显示与DHCP相关的数据包。

4.DHCP服务器接收到DHCP发现消息后，会回复一个DHCP提供消息。

该消息包含了DHCP服务器可以提供给客户端的IP地址和其他配置信息。

5.客户端接收到DHCP提供消息后，会发送一个DHCP请求消息，以确认接受DHCP服务器提供的配置信息。

6.DHCP服务器接收到DHCP请求消息后，会发送一个DHCP确认消息，将IP地址和其他配置信息分配给客户端。

7. 在Wireshark中，我们可以查看这些DHCP消息的详细信息。

可以看到每个消息的源IP地址、目的IP地址、消息类型、配置选项等。

8.客户端设备在接收到DHCP确认消息后，将使用分配给它的IP地址和其他配置信息来配置自己的网络连接。

通过分析DHCP协议的数据包，我们可以了解到DHCP协议的工作流程和数据包的结构。

wireshark是非常流行的网络封包分析软件,功能十分强大;可以截取各种网络封包,显示网络封包的详细信息;使用wireshark的人必须了解网络协议,否则就看不懂wireshark了;为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包;wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS还是用Fiddler,其他协议比如TCP,UDP就用wireshark.wireshark开始抓包开始界面wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡;点击Caputre->Interfaces..出现下面对话框,选择正确的网卡;然后点击"Start"按钮,开始抓包Wireshark窗口介绍WireShark主要分为这几个界面1.DisplayFilter显示过滤器,用于过滤2.PacketListPane封包列表,显示捕获到的封包,有源地址和目标地址,端口号;颜色不同,代表3.PacketDetailsPane封包详细信息,显示封包中的字段4.DissectorPane16进制数据5.Miscellanous地址栏,杂项使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分;搞得晕头转向;过滤器会帮助我们在大量的数据中迅速找到我们需要的信息;过滤器有两种,一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录;在Capture->CaptureFilters中设置保存过滤在Filter栏上,填好Filter的表达式后,点击Save按钮,取个名字;比如"Filter102",Filter栏上就多了个"Filter102"的按钮;过滤表达式的规则表达式规则1.协议过滤比如TCP,只显示TCP协议;2.IP过滤3.端口过滤tcp.port==80,端口为80的tcp.srcport==80,只显示TCP协议的愿端口为80的;4.Http模式过滤5.逻辑运算符为AND/OR常用的过滤表达式HypertextTransferProtocol:应用层的信息,此处是HTTP协议TCP包的具体内容从下图可以看到wireshark捕获到的TCP包中的每个字段;看到这,基本上对wireshak有了初步了解,现在我们看一个TCP三次握手的实例三次握手过程为这图我都看过很多遍了,这次我们用wireshark实际分析下三次握手的过程;在wireshark中输入http过滤,然后选中GET/tankxiaoHTTP/1.1的那条记录,右键然后点击"FollowTCPStream",这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图图中可以看到wireshark截获到了三次握手的三个数据包;第四个包才是HTTP的,这说明HTTP的确是使用TCP建立连接的;第一次握手数据包客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接;如下图第二次握手的数据包服务器发回确认包,标志位为SYN,ACK.将确认序号AcknowledgementNumber设置为客户的ISN加1以.即0+1=1,如下图第三次握手的数据包客户端再次发送确认包ACKSYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,如下图: 就这样通过了TCP三次握手,建立了连接。

Using WireShark for DHCP capture andDNS capture0921282109B04The configuration of the WireSharkThe WireShark interface in Linux is as above.The capture is done in the lab, in an café house as well as in the dorm. The connection to cafe is wireless connection, in the lab thelaptop is allocated to a public IP address and in dorm, where it iswired connection, the laptop is allocated to a private IP address, while the router’s IP is 192.168.1.1.While with wired connection, the interface selected is eth0,with wireless connection, the interface selected is eth 2.When capturing DHCP packet, the configuration of capture is as follows:When capturing DNS message, the configuration is as follows:●The procedure of captureClick on the third button to While capturing, click thethird start capture. button to stop.●DHCP analysisAfter input and in cmd ,,Release the link and rebuild the link using DHCP protocol.The five messages that the Wireshark packed are release, discover, offer, request and ACK. It can be inferred from the picture above that the source port number is 68 and the destination port number is 67. And the destination is a DHCP server as well as a router. The server’s IP address is 192.168.1.1(which is a private IP address used by a router) and the host’s IP address is 192.168.1.100(which is also a private IP address).1.Discover messageThe client broadcasts messages on the physical subnet to discover available DHCP servers. Network administrators can configure a local router to forward DHCP packets to a DHCP server from a different subnet. This client-implementation creates a User Datagram Protocol (UDP) packet with the broadcast destination of 255.255.255.255 or the specific subnet broadcast address.field value meaning2.Transaction ID an integer For client to match response4.Your IPaddress 0.0.0.0 The client is waiting to beassigned for an IP address, so thisis all 0.5.Next serverIP address 0.0.0.0 The server’s IP address isunknown.6.t=53 DHCP type =DHCP discoveryCompare with the example in the lectureExcept for the mac address and the transaction ID all fields are the same.2.Offer messageWhen a DHCP server receives an IP lease request from a client, it reserves an IP address for the client and extends an IP lease offer by sending a DHCPOFFER message to the client. This message contains the client's MAC address, the IP address that the server is offering, the subnet mask, the lease duration, and the IP address of the DHCP server making the offer.The server determines the configuration based on the client's hardware address as specified in the CHADDR (Client Hardware Address) field. Here the server, 192.168.1.1, specifies the IP address in the YIADDR (Your IP Address) field.field value meaning2 Transaction ID an integer For client to match response3 Client IP address 0.0.0.0 Only field if the client isBOUND, REVEW, orREBIND, so it’s all 0.4 Your IP address 192.168.1.100 The client is offered with anIP address5 Next server IP address 0.0.0.0 The server’s IP address is inoption 546 t=53 DHCP type =DHCP offer Compare with the example in the lectureExcept for the mac address, the next server IP address and the transaction ID all fields are the same. The next IP address that captured is all zero because the server IP is in the 54 flag.3.Request messageIn response to the offer Client requests the server. The client replies DHCP request, unicast to the server, requesting the offered address. A client can receive DHCP offers from multiple servers, but it will accept only one DHCP offer. Based on the Transaction ID field in the request, servers are informed whose offer the client has accepted. When other DHCP servers receive this message, they withdraw any offers that they might have made to the client and return the offered address to the pool of available addresses. In some cases DHCP request message is broadcast, instead of being unicast to a particular DHCP server, because the DHCP client has still not received an IP address. Also, this way one message can let all other DHCP servers know that another server will be supplying the IP address without missing any of the servers with a series of unicast messages.field value meaning2 Transaction IDan integerFor client to match response4 Your IP address0.0.0.0The client is still waiting for an IP address so it is all 05 Next server IP address 0.0.0.0 The server’s IP address is in option 546 t=53DHCP type =DHCP request 7 t=54 Server’s identifier is 192.168.1.1 8 t=50 Re quested IP address is 192.168.1.100Compare with the example in the lectureExcept for the mac address and the transaction ID all fields are the same.4.ACK messageWhen the DHCP server receives the DHCPREQUEST message from the client, the configuration process enters its final phase. The acknowledgement phase involves sending a DHCPACK packet to the client. This packet includes the lease duration and any other configuration information that the client might have requested. At this point, the IP configuration process is completed.field value meaning2 TransactionIDan integer For client to match response3 Client IPaddress 0.0.0.0 Only field if the client isBOUND, REVEW, orREBIND, so it’s all 0.4 Your IPaddress 192.168.1.100 The client is allocated withthe address6 t=53 DHCP type =DHCP request7 t=54 Server’s identifier is 192.168.1.18 t=1 Subnet mask 255.255.255.09 t=3 Router is 192.168.1.110 T=6 Domain name serverThe server’s IP address is in option 54Compare with the example in the lecturecomparefield12 3 4f8fdea2e f8fdea2e f8fdea2e f8fdea2e TransactionID0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Client IPaddress0.0.0.0 192.168.1.100 0.0.0.0 192.168.1.100 Your IPaddress●DHCP sequenceThe Domain Name System (DNS) is a hierarchical distributed naming system for computers, services, or any resource connected to the Internet or a private network. It associates various information with domain names assigned to each of the participating entities.A Domain Name Service translates queries for domain names (which are meaningful to humans) into IP addresses for the purpose of locating computer services and devices worldwide.Input in the broserThere are 2 DNS messages, the host asks for and the server send back the address of server.1.query1 Frame address3 Port number DNS port: 53 src port: 48376The DNS port is 53 and the port of the host is a random number. 4 DNS ID 4a 36Correlate querieswithresponses.5 Flags 01 00 This is a message that the host send to server, so it is a quire.6 Question section1 The number of availablequestion is 1 (the question is at the end of the message)7 Answer section 0These three ars in answer section. This is a query message, so the three are all 0.8Authority section9 Additional section2.answer1 Frame address2 Destination ipaddress 192.168.1.112 The private IP in the localnetwork that the router allocatedit to the laptop. Which is also thehost.3 Port number src port: 53dst port: 48376 The DNS port is 53 and the port of the host is a random number.4 DNS ID 4a 36 Correlate queries withresponses.5 Flags 81 80 The server can de recursivequery and the message is aresponce.6 Questionsection 1 The number of availablequestion is 1 (the question is atthe end of the message)7 Questionsection 1 The same as the previousmessage sent.8 Answer section 7 There are 7 IPAddress for google server.9 Authoritysection0 No Authority section。

手机接入无线网的过程分析吉林大学通信工程学院360免费wifi是一款免费、操作极其简单的wifi共享软件，只需运行该软件，就能将联网的电脑瞬间变成免费的WiFi路由器，从而让手机、PAD等硬件设备免费上网，实现网络共享，并且可以管理所有接入的设备。

本文使用wireshark抓包软件对手机接入无线网的过程进行抓包分析，深入了解手机接入无线网的过程，并加深对DHCP、ARP等相关协议的理解。

图1是在手机接入无线路由器（即安装了360免费WiFi的电脑）时所抓取的ip包。

可以看出，无线路由器使用了172的局域网网段，路由器的ip地址是172.22.190.1，分配给手机的ip地址是172.22.190.2，手机的mac地址是c4:6a:b7:f9:29:c8，无线路由器的mac 地址是14:2d:27:f0:db:bd。

图1 手机接入无线路由器抓取的ip包从图1中的第5个ip包开始，手机试图从无线路由器中获取ip地址，由于一开始手机并没有被分配ip地址，它只能用0.0.0.0作为初始ip，采用DHCP协议(动态主机配置协议)通过广播的方式（目的地址255.255.255.255）在局域网中发布DHCP Request 包。

图2是DHCP Request报文的内容，可以看出DHCP采用了UDP协议承载，源端口和目的端口分别为68、67。

由于手机已不是第一次登陆网络，它在上次从另一台无线路由器DHCP server中获取的IP地址是192.168.1.101，手机把它上次使用过的ip地址192.168.1.101封装在option50中，如果该地址未被分配，那么无线路由器中的DHCP server必须优先为该手机分配该地址。

而实际上360免费WiFi使用的是172的局域网网段地址，无法提供192.168这个网段的地址，所以无线路由器的DHCP server回送给手机DHCP client的是DHCP NAK 数据包，如图1中的第6号数据包，即第一次的IP地址请求失败。

‘’各位同学，老师昨天给大家介绍了DHCP 协议的报文格式和DHCP的工作流程。

想必大家对这个协议应该有一个清楚的认识了。

那么今天我们通过数据抓包，再次详细分析下DHCP协议在地址分配过程中协议报文的封装过程。

在正式开始这个过程之前，我们还是有必要对昨天的的内容做一个回忆。

好的，我们先看下DHCP 报文的格式，请看下图：OP:操作码(1=bootrequest ,2=bootreply)Htype: 硬件地址类型(1=10mb ethernet)Hlen: 硬件地址长度(ethernet 为10)Hops:表示当前的DHCP报文经过的DHCP Relay的数目。

该字段由客户端设置为0，每经过一个DHCP Relay时，该字段加1。

此字段的作用是限制DHCP报文所经过的DHCP中继数目。

服务器和客户端之间的DHCP中继不能超过4次，也就是Hops值不能大于4，否则DHCP报文将被丢弃。

Xid: 传输ID,在同服务器的交互中,由客户机所选择Secs: 客户机所使用的地址,在最近一次地址获取/地址更新后所经过的时间Flags:此字段在BOOTP中保留未用，在DHCP中表示标志字段。

只有标志字段的最高位才有意义，其余的位均被置为0。

最左边的字段被解释为广播响应标志位，内容如下所示：0：客户端请求服务器以单播形式发送响应报文1：客户端请求服务器以广播形式发送响应报文Client IP address: 客户机在BOUND,RENEW或REBINDING状态所使用,可以用来回应ARP请求报文Client IP Address ：该字段表示客户端的IP地址。

可以是服务器分配给客户端的IP地址或者客户端已有的IP地址。

客户端在初始化状态时没有IP地址，此字段为0.0.0.0。

IP地址0.0.0.0仅在采用DHCP方式的系统启动时允许本主机利用它进行临时的通信，并且永远不是有效目的地址。

Your IP address: 服务器给客户机分配的IP地址。

一、实验目的及要求：1、分析IP协议，熟知IP协议数据包各个字段的含义与作用；2、分析IP数据报分片，熟悉IP数据包的传递方式。

二、实验设备：与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE浏览器等软件。

三、实验原理：1、DHCP（动态主机配置协议）报文说明：(1)DHCP-DISCOVER：DHCP客户端广播发送的，用来查找网络中可用的DHCP服务器。

(2)DHCP-OFFER：DHCP服务器用来响应客户端的DHCP-DISCOVER请求，并为客户端指定相应配置参数。

(3)DHCP-REQUEST：DHCP客户端广播发送DHCP服务器，用来请求配置参数或者续借租用。

(4)DHCP-ACK：DHCP服务器通知客户端可以使用分配的IP地址和配置参数。

(5)DHCP-NAK：DHCP服务器通知客户端地址请求不正确或者租期已过期，续租失败。

(6)DHCP-RELEASE：DHCP客户端主动向DHCP服务器发送，告知服务器该客户端不再需要分配的IP地址。

(7)DHCP-DECLINE：DHCP客户端发现地址冲突或者由于其它原因导致地址不能使用，则发送DHCP-DECLINE报文，通知服务器所分配的IP地址不可用。

(8)DHCP-INFORM：DHCP客户端已有IP地址，用它来向服务器请求其它配置参数2、pingPING（Packet Internet Groper），因特网包探索器，用于测试网络连接量的程序。

Ping是工作在TCP/IP网络体系结构中应用层的一个服务命令，主要是向特定的目的主机发送ICMP （Internet Control Message Protocol因特网报文控制协议）Echo请求报文，测试目的站是否可达及了解其有关状态。

四、实验内容和步骤：1、用300字左右，描述你对IP协议的认识；IP协议，即互联网协议（Internet Protocol），是互联网技术的核心组成部分，它定义了数据如何在互联网中传输。