Come funziona un filter PCAP per catturare tutto il traffico correlato al DHCP?

Come lo capisco, per IPv4 avrei bisogno di catturare

  • Porta UDP 67 e 68,
  • ARP,
  • ICMP richieste di eco e risposta,

e per IPv6 avrei bisogno

  • È necessario "broadcast-address" in dhcpd.conf?
  • Perché un VM di avvio PXE cerca aggressivamente ARP Reverse?
  • Ambiente DHCP IPV6
  • Controllo SSL Packet su Linux
  • Servizi DHCP di host sul server o sul firewall / router?
  • I tag VLAN non vengono visualizzati nella confezione di pacchetti (Linux) tramite tcpdump
    • Porta UDP 546 e 547,
    • tutti gli indirizzi multicast correlati al DHCP,
    • Scoperta di prossimità ICMPv6.

    Voglio catturare il traffico relativo al DHCP con tcpdump o wireshark per ulteriori analisi.

    Anche se voglio rendere il filter più specifico ansible per get un piccolo file di cattura, non voglio perdere alcuni pacchetti importnti come quelli utilizzati per verificare che un indirizzo IP non sia ancora stato preso.

    Mi sto perdendo qualcosa?

    3 Solutions collect form web for “Come funziona un filter PCAP per catturare tutto il traffico correlato al DHCP?”

    Mi sono stabilito con il seguente filter PCAP:

    ( udp and ( port 67 or port 68 ) ) or arp or ( icmp and (icmp[icmptype] == 8 or icmp[icmptype] == 0 ) ) or ( udp and ( port 546 or port 547 ) ) or ( icmp6 and ( ip6[40] == 135 or ip6[40] == 136 ) ) or dst net ff02:0:0:0:0:1:ff00::/104 or dst host ff01::1 or dst host ff02::1 or dst host ff02::1:2 or ( icmp6 and ( ip6[40] == 128 or ip6[40] == 129 ) ) 

    Le prime tre righe catturano DHCPv4, ARP (duplicate address detection) e PING.

    La quarta linea cattura DHCPv6, le righe da cinque a otto catturano il rilevamento di indirizzi duplicati per IPv6. La row nove cattura il multicast per gli agenti DHCPv6 e l'ultima row è per PING6.

    Ovviamente questo troverà molti pacchetti non legati al traffico DHCP. Questi devono essere risolti dopo.

    Forse il traffico PING e PING6 non è affatto necessario.

    La port 67 or port 68 filter port 67 or port 68 otterrà la conversazione DHCP stessa, che è corretta.

    Il filter arp dovrebbe catturare il traffico arp sulla substring. Questo è trasmesso in natura, quindi può essere catturato da qualsiasi port della subnet.

    E l'ICMP richiede che tu abbia già descritto.

    Direi che hai l'elenco completo.

    Si desidera filtrare per tutto il traffico BOOTP poiché DHCP utilizza BOOTP come è protocollo comms. Guarda questo:

    https://wiki.wireshark.org/DHCP

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.