Analizar Trafico DHCP
Primero es importante conocer que todo el proceso que genera un usuario para obtener una dirección IP, es identificada a través de un ID de Transacción, se puede consultar todo el seguimiento de una transacción a través del siguiente filtro:bootp.id == 0x543fbd3b
El ID de transacción es fácilmente visible cuando localizamos un packet DHCP.
Tipo de paquete:
DHCP Message Type 53 Values, este tipo de mensaje DHCP contiene los siguiente tipos de mensajes:
| Value | Message Type | Reference |
|---|---|---|
| 1 | DHCPDISCOVER | [RFC2132] |
| 2 | DHCPOFFER | [RFC2132] |
| 3 | DHCPREQUEST | [RFC2132] |
| 4 | DHCPDECLINE | [RFC2132] |
| 5 | DHCPACK | [RFC2132] |
| 6 | DHCPNAK | [RFC2132] |
| 7 | DHCPRELEASE | [RFC2132] |
| 8 | DHCPINFORM | [RFC2132] |
| 9 | DHCPFORCERENEW | [RFC3203] |
| 10 | DHCPLEASEQUERY | [RFC4388] |
| 11 | DHCPLEASEUNASSIGNED | [RFC4388] |
| 12 | DHCPLEASEUNKNOWN | [RFC4388] |
| 13 | DHCPLEASEACTIVE | [RFC4388] |
| 14 | DHCPBULKLEASEQUERY | [RFC6926] |
| 15 | DHCPLEASEQUERYDONE | [RFC6926] |
| 16 | DHCPACTIVELEASEQUERY | [RFC7724] |
| 17 | DHCPLEASEQUERYSTATUS | [RFC7724] |
| 18 | DHCPTLS | [RFC7724] |
bootp.option.type == 53
Si se desea ver un mensaje especifico:
bootp.option.dhcp == value
El parámetro value es un valor de la tabla anterior, de tal forma para filtrar los paquetes que los usuarios envían para descubrir un servidor DHCP, según la tabla anterior corresponde el valor de 1 es para Discovery.
Si se requiere filtrar para que solo muestre Discovery y Offer se utilizaría el siguiente:
bootp.option.dhcp in {1 2}
Información de DHCP
Se puede filtrar la información del paquetes DHCP:
Your IP Address
bootp.ip.your
Server IP Address
bootp.ip.server
Router IP Address
bootp.ip.relay
Mac Address del client
bootp.hw.mac_addr == c4:3a:be:XX:XX:XX
Problemas que se puede encontrar en DHCP
Referencias:
No hay comentarios:
Publicar un comentario