局域網(wǎng)DHCP與ARP協(xié)議監(jiān)測與分析

局域網(wǎng)DHCP與ARP協(xié)議監(jiān)測與分析2024年10月

目錄TOC\o"1-3"\h\u631一、實(shí)驗(yàn)?zāi)康呐c背景 3271361．實(shí)驗(yàn)?zāi)康?3173242．背景 3216993．任務(wù)要求 36747二、實(shí)驗(yàn)環(huán)境 395741．操作系統(tǒng) 3239312．軟件版本 391003．模擬設(shè)備 422686三、實(shí)驗(yàn)說明 4279161．實(shí)驗(yàn)步驟 4308512．Python工具運(yùn)行步驟 1143013．?dāng)?shù)據(jù)包分析 126419（1）Discover報文 1218754（2）Offer報文 1226717（3）Request報文 137175（4）ACK報文 1311848四、實(shí)驗(yàn)總結(jié) 14

實(shí)驗(yàn)?zāi)康呐c背景實(shí)驗(yàn)?zāi)康耐ㄟ^網(wǎng)絡(luò)模擬器搭建一個具備DHCP的局域網(wǎng)絡(luò)，然后使用wireshark及python對數(shù)據(jù)流進(jìn)行監(jiān)聽分析，了解局域網(wǎng)絡(luò)的基本構(gòu)成結(jié)構(gòu)，深入分析和了解DHCP報文、ARP報文的組成結(jié)構(gòu)。背景DHCP（動態(tài)主機(jī)配置協(xié)議）是網(wǎng)絡(luò)中用于動態(tài)分配IP地址的協(xié)議，能夠簡化網(wǎng)絡(luò)配置過程。ARP（地址解析協(xié)議）則用于映射網(wǎng)絡(luò)層地址（IP地址）到數(shù)據(jù)鏈路層地址（MAC地址）。通過監(jiān)測這兩種協(xié)議，可以深入理解網(wǎng)絡(luò)設(shè)備間的通信機(jī)制。任務(wù)要求使用CiscoPacketTracer搭建局域網(wǎng)絡(luò)，模擬DHCP請求及DHCP下發(fā)。使用wireshark監(jiān)聽DHCP的Discover、Offer、Request和ACK消息。Python分析wireshark監(jiān)聽的網(wǎng)絡(luò)報文，判斷主機(jī)是否在線。實(shí)驗(yàn)環(huán)境操作系統(tǒng)window11軟件版本CiscoPacketTracer(由于未找到可抓包得CiscoPacketTracer，本次實(shí)驗(yàn)使用華為ENSP模擬器開展)ENSP1.3.00.100Python3.8Scapy2.6.0模擬設(shè)備AR1200*1，用于開啟DHCP服務(wù)，動態(tài)下發(fā)IP地址Switch*1，用于連接AR與若干PC主機(jī)PC若干網(wǎng)絡(luò)拓?fù)洌簣DSEQ圖\*ARABIC1實(shí)驗(yàn)拓?fù)鋱D實(shí)驗(yàn)說明實(shí)驗(yàn)步驟新建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，按照實(shí)驗(yàn)規(guī)劃，新增一臺AR1220路由器、1臺S5700交換機(jī)和兩臺PC設(shè)備，使用Copper線纜將設(shè)備進(jìn)行連接，開啟全部設(shè)備。圖SEQ圖\*ARABIC2實(shí)驗(yàn)拓?fù)鋱D配置PC1、PC2主機(jī)的IP地址。圖SEQ圖\*ARABIC3PC1靜態(tài)地址圖SEQ圖\*ARABIC4PC2靜態(tài)地址配置wireshark地址，通過ENSP軟件，點(diǎn)擊設(shè)置-工具設(shè)置，指定本機(jī)中Wireshark的安裝路徑。圖SEQ圖\*ARABIC5配置wireshark允許抓包開始數(shù)據(jù)抓包測試，點(diǎn)擊ENSP中的數(shù)據(jù)抓包，指定設(shè)備為LSW1，接口選擇GE0/0/1，抓取PC1數(shù)據(jù)包。圖SEQ圖\*ARABIC6選擇抓包接口開啟抓包后，可見wireshark中存在數(shù)據(jù)包響應(yīng)，說明ENSP對接wireshark抓包正常。圖SEQ圖\*ARABIC7測試抓包配置DHCP，進(jìn)行后續(xù)DHCP抓包實(shí)驗(yàn)。使用路由器AR1的CLI命令行，配置DHCP。圖SEQ圖\*ARABIC8配置路由器開啟DHCP修改PC1的網(wǎng)絡(luò)配置為DHCP，查看IP地址已經(jīng)獲取。圖SEQ圖\*ARABIC9客戶端配置動態(tài)獲取IP圖SEQ圖\*ARABIC10動態(tài)獲取的IP地址查看wireshark抓包記錄，存在DHCP報文（Discover、Offer、Request、ACK）。通過報文查看，PC1已通過DHCP服務(wù)正確獲取IP地址192.168.1.253。圖SEQ圖\*ARABIC11DHCP報文段保存wireshark報文為本地PCAP文件，進(jìn)行后續(xù)分析實(shí)驗(yàn)。圖SEQ圖\*ARABIC12保存抓包數(shù)據(jù)新建dhcp_monitor項(xiàng)目，解釋器為python3.8圖SEQ圖\*ARABIC13python分析報文代碼運(yùn)行python代碼，程序會依次讀取數(shù)據(jù)包內(nèi)容，識別為dhcp報文時，會按照報文順序，輸出包類型、客戶端MAC、客戶端IP以及請求的服務(wù)地址。圖SEQ圖\*ARABIC14python運(yùn)行分析報文結(jié)果識別為ARP報文時，會輸出MAC及IP信息，當(dāng)識別為ARPReply報文時，會輸出主機(jī)x.x.x.x存活。圖SEQ圖\*ARABIC15python主機(jī)存活分析結(jié)果Python工具運(yùn)行步驟編輯dhcp_monitor.py文件，修改read_pcap_file的路徑為實(shí)際報文路徑。圖SEQ圖\*ARABIC16python運(yùn)行說明使用cmd執(zhí)行pythondhcp_monitor.py即可運(yùn)行。數(shù)據(jù)包分析通過wireshark打開抓包的數(shù)據(jù)dhcp.pcapng進(jìn)行DHCP消息跟蹤分析。Discover報文首先當(dāng)客戶端PC將網(wǎng)卡設(shè)置為自動獲取IP地址時，PC機(jī)充當(dāng)DHCP客戶端，通過廣播DHCPDiscover報文的方式，在網(wǎng)絡(luò)中尋找可用的DHCP服務(wù)器。DHCP客戶端廣播報文中，可以查看到客戶端的MAC地址為：54:89:98:de:07:64。圖SEQ圖\*ARABIC17DHCP客戶端廣播報文Offer報文DHCP服務(wù)器收到客戶端的Discover報文后，會向網(wǎng)絡(luò)廣播一個DHCPOffer報文，從報文中可以看出，其包含了分配給客戶端的IP地址，以及需要接受該IP的終端MAC地址。通過Offer報文查看，DHCP服務(wù)器分配了192.168.1.253給MAC地址為54:89:98:de:07:64的終端設(shè)備。圖SEQ圖\*ARABIC18Offer報文分配IPRequest報文DHCP客戶端在收到DHCP服務(wù)器廣播的Offer報文后，會選擇DHCP服務(wù)器下發(fā)的IP信息，并向該臺DHCP服務(wù)器發(fā)送request報文，請求獲取這個IP的使用權(quán)限。通過報文查看MAC地址為54:89:98:de:07:64的終端設(shè)備向192.168.1.254這臺DHCP服務(wù)器申請獲取192.168.1.253這個IP的使用權(quán)限。圖SEQ圖\*ARABIC19Request報文申請IPACK報文DHCP服務(wù)器接受的客戶端的Request報文申請信息后，確認(rèn)允許使用該IP，同時，由DHCP服務(wù)器下發(fā)一個ACK報文給客戶端，其中包含客戶端請求的IP、MAC、DNS等信息。通過報文查看，DHCP服務(wù)器允許客戶端使用IP192.168.1.253，子網(wǎng)掩碼為255.255.255.0。圖SEQ圖\*ARABIC20DHCP服務(wù)器回復(fù)ACK報文實(shí)驗(yàn)總結(jié)通過本次實(shí)驗(yàn)在ENSP模擬器上模擬了DHCP客戶端和DHCP服務(wù)器之間的通信過程，分析了DHCP協(xié)議中的四個重要階段：Discover、Offer、Request和Acknowledge。在實(shí)驗(yàn)中，我們觀察到客戶端首先廣播Discover報文，服務(wù)器回應(yīng)Offer報文，客戶端選擇并請求特定配置，最終服務(wù)器確認(rèn)并發(fā)送Acknowledge報文完