Come funziona un filter PCAP per catturare tutto il traffico correlato al DHCP?

Come lo capisco, per IPv4 avrei bisogno di catturare

  • Porta UDP 67 e 68,
  • ARP,
  • ICMP richieste di eco e risposta,

e per IPv6 avrei bisogno

  • Porta UDP 546 e 547,
  • tutti gli indirizzi multicast correlati al DHCP,
  • Scoperta di prossimità ICMPv6.

Voglio catturare il traffico relativo al DHCP con tcpdump o wireshark per ulteriori analisi.

Anche se voglio rendere il filter più specifico ansible per get un piccolo file di cattura, non voglio perdere alcuni pacchetti importnti come quelli utilizzati per verificare che un indirizzo IP non sia ancora stato preso.

Mi sto perdendo qualcosa?

  • Cosa provoca una port switch per ricevere dati non destinati?
  • Analisi RTP - Pce discreto (tempo di pacchettizzazione) per una determinata cattura di pacchetti VoIP
  • Colonna "lunghezza" Wireshark - che cosa include?
  • Come fare solo il filter wireshark POST-requests?
  • Come faccio a scoprire che cosa è tutto questo traffico?
  • pfSense non inoltra i pacchetti di back
  • Come posso scrivere un filter per get la mancanza di numero di sequenza di tcp?
  • Plugin CouchDB per Wireshark?
  • 3 Solutions collect form web for “Come funziona un filter PCAP per catturare tutto il traffico correlato al DHCP?”

    Mi sono stabilito con il seguente filter PCAP:

    ( udp and ( port 67 or port 68 ) ) or arp or ( icmp and (icmp[icmptype] == 8 or icmp[icmptype] == 0 ) ) or ( udp and ( port 546 or port 547 ) ) or ( icmp6 and ( ip6[40] == 135 or ip6[40] == 136 ) ) or dst net ff02:0:0:0:0:1:ff00::/104 or dst host ff01::1 or dst host ff02::1 or dst host ff02::1:2 or ( icmp6 and ( ip6[40] == 128 or ip6[40] == 129 ) ) 

    Le prime tre righe catturano DHCPv4, ARP (duplicate address detection) e PING.

    La quarta linea cattura DHCPv6, le righe da cinque a otto catturano il rilevamento di indirizzi duplicati per IPv6. La row nove cattura il multicast per gli agenti DHCPv6 e l'ultima row è per PING6.

    Ovviamente questo troverà molti pacchetti non legati al traffico DHCP. Questi devono essere risolti dopo.

    Forse il traffico PING e PING6 non è affatto necessario.

    La port 67 or port 68 filter port 67 or port 68 otterrà la conversazione DHCP stessa, che è corretta.

    Il filter arp dovrebbe catturare il traffico arp sulla substring. Questo è trasmesso in natura, quindi può essere catturato da qualsiasi port della subnet.

    E l'ICMP richiede che tu abbia già descritto.

    Direi che hai l'elenco completo.

    Si desidera filtrare per tutto il traffico BOOTP poiché DHCP utilizza BOOTP come è protocollo comms. Guarda questo:

    https://wiki.wireshark.org/DHCP

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.