Como seria um filtro PCAP para capturar todo o tráfego relacionado ao DHCP?

Navegue suas respostas
5

Pelo que entendi, para o IPv4 eu precisaria capturar

  • Porta UDP 67 e 68,
  • ARP,
  • Solicitação e resposta de eco ICMP,

e para o IPv6 eu precisaria

  • Porta UDP 546 e 547,
  • todos os endereços multicast relacionados a DHCP,
  • Descoberta do vizinho ICMPv6.

Eu quero capturar o tráfego relacionado ao DHCP com o tcpdump ou wireshark para análise posterior.

Embora eu queira tornar o filtro o mais específico possível para obter um arquivo de captura pequeno, não quero perder alguns pacotes importantes, como aqueles usados para verificar se um endereço IP ainda não foi usado.

Estou sentindo falta de algo?

    
por Mathias Weidner 16.08.2015 / 14:53

3 respostas

4

Eu me adaptei ao seguinte filtro PCAP: 

( udp and ( port 67 or port 68 ) )
or arp
or ( icmp and (icmp[icmptype] == 8 or icmp[icmptype] == 0 ) )
or ( udp and ( port 546 or port 547 ) )
or ( icmp6 and ( ip6[40] == 135 or ip6[40] == 136 ) )
or dst net ff02:0:0:0:0:1:ff00::/104
or dst host ff01::1
or dst host ff02::1
or dst host ff02::1:2
or ( icmp6 and ( ip6[40] == 128 or ip6[40] == 129 ) )

As primeiras três linhas capturam DHCPv4, ARP (detecção de endereço duplicado) e PING.

A quarta linha captura o DHCPv6, as linhas cinco a oito capturam a detecção de endereço duplicado para o IPv6. A linha nove captura multicast para agentes DHCPv6 e a última linha é para o PING6.

Claro que isso vai pegar muitos pacotes não relacionados ao tráfego DHCP. Estes têm que ser resolvidos depois.

Talvez o tráfego PING e PING6 não seja necessário.

    
por 23.08.2015 / 23:34
2

O filtro port 67 or port 68 fará com que você receba a conversa DHCP, isso é correto.

O filtro arp deve capturar o tráfego arp na sub-rede. Isso é transmitido por natureza, portanto, pode ser capturado em qualquer porta da sub-rede.

E as solicitações do ICMP já descritas.

Eu diria que você tem uma lista abrangente.

    
por 16.08.2015 / 15:39
1

Você deseja filtrar todo o tráfego de BOOTP, pois o DHCP usa o BOOTP como é o protocolo de comunicação. Veja isto:

link

    
por 16.08.2015 / 15:16

Tags

Como construir um disco de driver para uma instalação do anaconda (CentOS 6) Instale o php-mssql no CentOS 6.2 [fechado]