DHCP完整过程及Wireshark抓包分析

DHCP完整过程及Wireshark抓包分析

1、概念和过程
**a、DHCP:**动态主机配置协议（主机获取IP地址的过程），属于应用层协议。
b、DHCP过程：DHCP Discover–>DHCP Offer–>DHCP Request–>DHCP Ack
发现阶段:（DHCP客户端在网络中广播发送DHCP DISCOVER请求报文，发现DHCP服务器，请求IP地址租约）
提供阶段:（DHCP服务器通过DHCP OFFER报文向DHCP客户端提供IP地址预分配）
选择阶段:（DHCP客户端通过DHCP REQUEST报文确认选择第一个DHCP服务器为它提供IP地址自动分配服务）
确认阶段:（被选择的DHCP服务器通过DHCP ACK报文把在DHCP OFFER报文中准备的IP地址租约给对应DHCP客户端）。

c、停止抓包，使用bootp过滤报文(bootp协议也是用于获取主机IP,使用udp传递报文,是DHCP协议的前身,bootp协议设计用于相对静态的环境)。如图1.1图，Trascation ID 0xff03ee2是客户端随机出的ID，若Discover后面过程Offer中的ID发生了改变，客户端会丢弃Offer报文。

2、如图2.1图是DHCP Release报文（PC释放IP的报文），Hops(跳数)是一台路由器/主机到另外一台路由器/主机所经过的其它路由器的数量，到中间的距离越远，即经过路由转发的次数越多，hops就越大。

3、获取IP时Client发送Discover报文，由于当前PC没有IP，故源IP：0.0.0.0，如图3.1中的报文为Client发出的Discover报文。(PS：若之后接收的Offer报文中 Transaction ID发生改变，则将Offer报文丢弃 )，该报文类型字段为1。
4、如图4.1是DHCP Offer报文，该报文类型字段为2(此时服务会进行检查，要分配的ip是否被占用（（发送ARP广播），若有人回复，则表示占用)
5、如图5.1图是DHCP Request报文，该报文的类型字段为3。（PS：此时会进行发送一个ARP广播判断分配的IP是不是被用了，若有人回复，则表示被用）
6、如图6.1图为DHCP ACK 报文，该报文的类型字段为5。
7、地址租期，IP续租过程，防DHCP攻击。
a、地址租期：DHCP服务器提供的每个地址都由租用期，在Offer报文中可以看到。一般会将租用期设置较短（PS：这样可以很快回收IP），因为过长会导致地址资源长期被占用，过短会导致DHCP请求包过多，增加网络负担。
b、IP续租过程：当租期为1/2的时候，client会向server发送DHCP Request包，若接收到server的ACK包，则更新配置。（PS：会继续使用该IP地址，因为租用时间还未到），若未接受到ACK包，当租期过去87.5%的时候，client会继续发送Request包给server,若接收到ACK包，则更新配置。
c、防DHCP攻击的作用：防止过多的DHCP报文上传CPU，造成设备的CPU过高从而无法正常运作；防DHCP攻击的实现机制设置DHCP上CPU的阀值，一旦转发DHCP报文的端口报文大于所设阀值设备，此端口被禁止转发DCHP报文，默认是过10分钟后恢复。