Paket DHCP disiarkan di semua port di sakelar?

0

Saya ingin memonitor paket DHCP pada clientPC yang terhubung ke 4 port switch / router.

Apakah saya dapat melihat paket DHCP yang dikirim atau diterima pada klien yang terhubung ke port lain pada switch ini juga?

lincow
sumber

Jawaban:

0

Penemuan dan Permintaan DHCP (dari klien ke server): Ya. Ini disiarkan, dan oleh karena itu semua orang di segmen jaringan yang sama akan menerimanya.

Penawaran dan Tindakan DHCP (dari server ke klien): Biasanya tidak. Pada jaringan yang diaktifkan paket-paket ini hanya diteruskan ke klien yang memintanya untuk mulai dengan, menggunakan tabel ARP switch untuk menentukan port fisik. Juga, saya ingat menggunakan Ettercap untuk tujuan yang tepat ini mungkin 10-15 tahun yang lalu.

-Namun-

Anda bisa mengendusnya. Konsepnya seperti ini:

  1. Spoof alamat MAC target Anda

  2. Terima dan baca paket

  3. Masukkan kembali (meneruskan) paket setelah selesai dengannya, sehingga dapat mencapai tujuan yang benar

Banyak suite perangkat lunak menggabungkan tiga langkah di atas dalam berbagai bentuk dan bentuk, tetapi yang sangat umum adalah Wireshark yang tersedia untuk berbagai platform. Ini juga memungkinkan Anda untuk melihat permintaan DHCP yang biasanya diabaikan oleh OS Anda. tcpdump juga merupakan alat yang sangat umum, tetapi sejauh yang saya tahu, itu hanya tersedia untuk Linux dan sistem mirip Unix, plus itu tidak melakukan spoofed sniffing.

Pada dasarnya, apa yang Anda kejar adalah sesuatu yang memungkinkan "Unified sniffing via ARP poisoning" di samping kemampuan menangkap paket.

Jarmund
sumber
1
Saya menjalankan beberapa tes dengan tcpdump pada mesin raspbian saya dan tampaknya berhasil tetapi dengan batas yang Anda jelaskan. Apakah mungkin untuk melihat permintaan IP yang gagal dari para wificlients dengan kata sandi wpa yang tidak valid menggunakan metode sniff?
lincow
@incincow Itu akan menjadi penangkapan paket biasa. Yang Anda butuhkan di atas adalah untuk memastikan bahwa Anda masih menerima paket yang tidak ditujukan untuk Anda, misalnya dengan meracuni cache ARP dari server DHCP.
Jarmund
Saya menemukan ada versi konsol wireshark yang disebut tshark, saya akan menginstal ini pada pi saya dan bermain dengan alat ini.
lincow
@incincow tshark berfungsi sama dengan wireshark. Anda masih perlu memanfaatkan sniffing untuk melihat penawaran DHCP untuk klien lain, ya.
Jarmund
0

Anda akan dapat melihat pesan siaran dari server dan klien, tetapi beberapa informasi akan dikirim oleh unicast daripada disiarkan, dan itu tergantung pada keadaan klien dan bagaimana ia memilih untuk mengikuti spesifikasi RFC 2131. Anda mungkin dapat melihat beberapa lalu lintas unicast dari port lain di sakelar Anda, tetapi jangan berharap demikian. Pembaruan biasanya menggunakan unicast.

http://www.freesoft.org/CIE/RFC/2131/33.htm

Ketika klien DHCP mengetahui alamat server DHCP, dalam kondisi INIT atau REBOOTING, klien dapat menggunakan alamat itu di DHCPDISCOVER atau DHCPREQUEST daripada alamat broadcast IP.

Tabel ini merangkum beberapa status siaran / unicast. http://www.freesoft.org/CIE/RFC/2131/28.htm

Paket penemuan selalu disiarkan. Permintaan selalu disiarkan jika klien tidak memiliki alamat, tetapi mungkin unicast saat perpanjangan. Paket penawaran dan pengakuan mungkin tergantung pada implementasi. Saya akan merekomendasikan membaca RFC untuk membiasakan diri ketika siaran digunakan. Anda lebih cenderung melihat lalu lintas pada perolehan alamat awal daripada pada pembaruan.

GuitarPicker
sumber