Я хотел бы отслеживать DHCP-пакеты на компьютере-клиенте, подключенном к 4-портовому коммутатору / маршрутизатору.
Смогу ли я видеть DHCP-пакеты, отправленные или полученные на клиентах, подключенных к другим портам на этом коммутаторе?
Я хотел бы отслеживать DHCP-пакеты на компьютере-клиенте, подключенном к 4-портовому коммутатору / маршрутизатору.
Смогу ли я видеть DHCP-пакеты, отправленные или полученные на клиентах, подключенных к другим портам на этом коммутаторе?
DHCP обнаруживает и запрашивает (от клиента к серверу): Да. Они широковещательные, и поэтому все в одном сегменте сети получат их.
Предложения DHCP и подтверждения (от сервера к клиенту): обычно нет. В коммутируемой сети эти пакеты пересылаются только клиенту, который запрашивает их начало, используя таблицу ARP коммутатора для определения физического порта. Кроме того, я помню, как использовал Ettercap для этой цели, может быть, 10-15 лет назад.
-Тем не мение-
Вы можете понюхать это. Концепция звучит так:
Подделать MAC-адрес вашей цели
Получать и читать пакеты
Повторно вставьте (перешлите) пакет, один раз сделанный с ним, чтобы он мог достичь своего правильного места назначения
Многие программные пакеты объединяют вышеупомянутые три шага в различных формах и формах, но очень распространенным является Wireshark, который доступен для нескольких платформ. Это также позволяет вам видеть запросы DHCP, которые обычно игнорируются вашей ОС. tcpdump также является очень распространенным инструментом, но, насколько мне известно, он доступен только для Linux и Unix-подобных систем, плюс он не делает фальшивый анализ.
По сути, то, что вам нужно, - это то, что позволяет использовать "унифицированный сниффинг через отравление ARP" в дополнение к возможности захвата пакетов.
Вы сможете видеть широковещательные сообщения от сервера и клиентов, но некоторая информация будет передаваться по одноадресной, а не по широковещательной рассылке, и это зависит от состояния клиента и от того, как он будет следовать спецификации RFC 2131. Вы можете быть в состоянии увидеть некоторые из однонаправленного трафика из других портов на коммутаторе, но не ожидайте. Обновления обычно используют одноадресную рассылку.
http://www.freesoft.org/CIE/RFC/2131/33.htm
Когда клиент DHCP знает адрес сервера DHCP в состоянии INIT или REBOOTING, клиент может использовать этот адрес в DHCPDISCOVER или DHCPREQUEST, а не в широковещательном IP-адресе.
Эта таблица суммирует некоторые широковещательные / одноадресные состояния. http://www.freesoft.org/CIE/RFC/2131/28.htm
Пакеты обнаружения всегда транслируются. Запрос всегда транслируется, если у клиента нет адреса, но он может быть одноадресным при обновлении. Предложения и пакеты подтверждения могут быть в зависимости от реализации. Я бы порекомендовал прочитать RFC, чтобы ознакомиться с тем, когда используется трансляция. Вы с большей вероятностью увидите трафик при получении начального адреса, чем при продлении.