计算机网络-DHCP协议抓包分析总结

前置问题：什么是（网络）协议？

网络协议为计算机网络中进行数据交换而建立的规则、标准或约定的集合。

而且：

一个网络协议至少包括三要素:

　　语法：用来规定信息格式;数据及控制信息的格式、编码及信号电平等。

　　语义：用来说明通信双方应当怎么做;用于协调与差错处理的控制信息。

　　时序：定义了何时进行通信，先讲什么，后讲什么，讲话的速度等。比如是采用同步传输还是异步传输。

简单的来说，就是说话交流的过程，两方要说话，相互听得懂，那么得满足：

①：说的同一个语言（语法）

②：说的话表达了明确的意思（语义）

③：话讲的有条理，能被理解（时序）

清楚了这一点，我们就可以开始分析协议了。

主机申请IP：DHCP动态主机配置协议

①：客户端广播DHCP消息“Discover”

        所有的服务器端都可以收到这个消息。

②：服务器提供租约“Offer”

        所有的服务器端都会提供一个响应，Offer报文中“Your(Client) IP Address”字段就是服务器端能供使用的IP地址。
​
        且服务器端会将自己的IP地址放在“option”字段中以便客户端区分不同的服务器端。
​
        服务器端在发出此报文后会存在一个已分配IP地址的纪录。

③：客户端选择并请求租用“Request”

        客户端只能处理其中的一个DHCP Offer报文，一般的原则是客户端处理最先收到的DHCP Offer报文，客户端会发出一个广播的DHCP Request报文，在选项字段中会加入选中的服务器端的IP地址和需要的IP地址
        
        服务器端收到DHCP Request报文后，判断选项字段中的IP地址是否与自己的地址相同，如果不相同，服务器端不做任何处理只清除相应IP地址分配记录；如果相同，服务器端就会向客户端响应一个DHCP ACK报文，并在选项字段中增加IP地址的使用租期信息。 

④：服务器确认将地址租用给客户端“ACK”

        客户端接收到DHCP ACK报文后，检查服务器端分配的IP地址是否能够使用。如果可以使用，则客户端成功获得IP地址并根据IP地址使用租期自动启动续延过程；如果客户端发现分配的IP地址已经被使用，则客户端向服务器端发出DHCP Decline报文，通知服务器端禁用这个IP地址，然后客户端开始新的地址申请过程。

了解了DHCP协议的基本运行规则，就可以使用wireshack工具进行分析了。

Wireshack分析DHCP报文

在过滤器上输入bootp，显示如下

下面，我们通过抓包分析其报文，讲讲白话解释来理解一下DHCP的过程，DHCP的报文有以下基本格式：

但看这么一串僵硬的文字肯定不是很舒服，我们选取一些重要信息理解一下，我们把客户端向服务器端请求ip看作找工作的过程：

我们先看Discover阶段：

这段的意思，可以说是，一个用户要找工作，他往给网上的某个“招聘群”里发了一条消息，说“我要找工作！”

我们看到：

消息类型 ：boot request（1），表示这条信息是“请求包”，请求包是客户端发出的；

bootp 标志 ：其中第一位为 0 表示单播，为 1 表示广播，但是其是在从服务器发出的才有用，此处无用；

一系列 IP 地址 ：都是 0.0.0.0，因为还没有确定；

MAC 地址 ：显示了设备的 MAC 地址；

DHCP 消息类型 ：表示了该条信息的类型。

再看Offer阶段：

这一段的意思，可以理解成，看到了这一个用户的消息，猎头们纷纷给该用户提供自己的工作环境信息和工资等。

和Discover阶段不同的是，我们看到消息类型变成了回复包、服务器向客户端的单播有了具体的地址，即设备的物理地址、在your （client） IP address中出现可以提供的地址，此外，在Option中还可以查看服务器端的子网掩码，域名等信息。

再看Request阶段：

这一阶段可理解为，用户接受了某个猎头提供的工作，并且告诉其他的猎头：“我找到工作了，不用再发offer了”。

这里还是广播，但是我们可以看到这边的已经将一系列信息，如：主机名称、申请的哪一个服务器、申请的ip等广播出去，收到的服务器就会停止发送offer，提供服务的服务器就会记录该客户端申请的地址。

最后是ack阶段：

相当于是客户跟着猎头去公司，签了个合同，就成功的入职了。

当服务器收到客户端回答的Request信息之后， 它便向客户端发送一个包含它所提供的IP地址和其他设置的Ack确认信息。以确认IP地址的正式生效。然后客户端便将其TCP/IP协议与网卡绑定，另外，除DHCP客户机选中的服务器外，其他的DHCP服务器都将收回曾提供的IP地址。

总结：

至于offer和ack阶段的目标地址到底是广播还是单播，可以参考一下博文：

https://www.zhihu.com/question/280872108?sort=created