dhcp sniffer抓包

fei_fei2 · 发表于 2008-6-24 15:35:12

dhcp客户端某些pc无法正常获取ip地址，于是抓包分析故障，
在h3c s3600的设备上，将连接无线路由器的端口镜像到抓包的机器端口上，
选择bootp协议无线网卡mac地址<---->any
然后开始抓包
可是死活只能抓到2个即：dhcp discover  和 dhcp request 发现少了offer和ack俩包，但无限网卡ip地址已经获得

在网上查找发现设置为
Address:Hardware  Mode:Include Station 1:10E08C5FC28A(网卡的物理MAC地址，不同的网卡MAC是不同） Station 2: any
IP：ICMP  UDP：BOOTP/DNS（UDP）  Packer Size:ALL

但效仿后多了两个icmp包仍然没有offer和ack包
请问怎么才能找到那4个意料之中的包：discover包 offer包 request包 ack包
请求给予指导......

oldjiang · 发表于 2008-6-24 16:50:54

offer和ack是单播包，也许没有通过被镜像端口。
在论坛按标题搜索“DHCP 协议”，参考：http://www.csna.cn/forum.php?mod=viewthread&tid=8289、http://www.csna.cn/forum.php?mod=viewthread&tid=215

怪哉，以前用无线路由上网，在客户机上抓的的DHCP包，怎么跟文档不一致呢，全是广播包。

非无线路由，则跟文档完全一致

[ 本帖最后由 oldjiang 于 2008-6-25 08:23 编辑 ]

sandhiller · 发表于 2009-3-18 11:40:19

好像Discovery和Request是广播，Offer和Ack应该是单播

jingyuanke · 发表于 2009-9-18 08:02:11

我也遇到了这个问题，现在弄明白了，在这里记录一下。
用sniffer抓取dhcp包时，发现只能抓取discover和request包，不能抓到offer和ack包。后来发现dhcp的offer和ack包也是广播包，所以在过滤器中指定客户端mac地址后，就抓不到offer和ack了。我将过滤器的两端硬件地址都设为any，这样就抓取到全部的包了。过滤器配置如下：
Address
Type:Hardware
Mode:Include
any<-->any
Advanced
Protocol:BOOTP

wuyouyin2 · 发表于 2009-10-10 14:49:23

OUT了吧，“无忧隐藏”是一款保护电脑隐私的软件，能快速隐藏网页、游戏、聊天等窗口,而且能同时能关闭声音。

ValorZ · 发表于 2009-10-14 12:07:54

DHCP的4个包都是广播。
为什么ACK也是广播，是因为在一个网络中可能有多个dhcp server，一台机器dhcp discover的时候可能会受到多个offer，如果request和ack不是广播，那么就会造成另外一台dhcp server的资源浪费。

dhcp sniffer抓包

本帖子中包含更多资源