DHCP 動 態(tài) 主 機 配 置 協(xié) 議 （ Dynamic Host Configuration Protocol）

1、DHCP包頭

操作代碼 OpCode：DHCP 請求或者 DHCP 回復

硬件類型 Hardware Type：10MB 以太網(wǎng)、IEEE802、ATM 等

硬件長度 Hardware Length：硬件地址長度

跳數(shù) Hops：中繼代理用來幫助尋找 DHCP 服務器

事務 ID：用來匹配請求和響應的一個隨機數(shù)

消耗時間 Seconds Elasped：客戶端首次向服務器發(fā)出請求后的時間

標記 Flags：客戶端能夠接受的流量類型（單播、廣播以及其他）

你的 IP：服務器為客戶端提供的 IP

2、數(shù)據(jù)包分析

discover

offer

request

ack

3、租約內續(xù)約

當一個擁有了 IP 的客戶端在租約內重新啟動，需要進行一次精簡版的 DORA 過程來重新認領它的 IP，只需要完成請求和確認后兩步就可以了。

DNS域名系統(tǒng) （Domain Name System）

1、DNS包頭

QR：查詢/.響應 Query/Response，指明數(shù)據(jù)包是查詢還是響應

AA：權威應答 Authoritative Answer，表示由域內權威域名服務器發(fā)出的

TC：截斷 Truncation，指明響應太長，無法裝入數(shù)據(jù)包而被截斷

RD：期望遞歸 Recursion Desired，表示客戶端在目標服務器不含請求信息時要求遞歸查詢

RA：可用遞歸 Recursion Available，表示域名服務器支持遞歸查詢

Z：保留

2、數(shù)據(jù)包分析

3、DNS問題類型

4、DNS 遞歸

客戶端捕獲的 DNS 數(shù)據(jù)包：

內部 DNS 服務器 102 設置了期望遞歸查詢：

服務器端捕獲的 DNS 數(shù)據(jù)包：

DNS 服務器進行了遞歸應答，內部 DNS 服務器 102 不知道 nstarch.com 域名的 IP，由

于設置了期望遞歸，所以它會向其他 DNS 服務器詢問，得到回答會告訴客戶端。

5、DNS 區(qū)域傳送

出于冗余備份的需要，在兩臺設備間傳送區(qū)域數(shù)據(jù)。

·完整區(qū)域傳送 AXFR：將整個區(qū)域在設備間進行傳送。

·增量區(qū)域傳送 TXFR：僅傳送區(qū)域信息的一部分。

DNS 在一些如區(qū)域傳送的任務中仍會使用 TCP 協(xié)議：

前三個包是 TCP 三次握手，第 4 個包是 164 和 139 間進行區(qū)域傳送，不包含 DNS 信息，

請求數(shù)據(jù)由多個包發(fā)送，因此第 4 包標記了“重組裝 PDU 的 TCP 分片”，包 5 是對數(shù)據(jù)包

4 的接收確認，包 6 為 DNS 完整區(qū)域傳送請求。

HTTP 超文本傳輸協(xié)議 （Hypertext Transfer Protocol）

1、使用 HTTP 瀏覽

2、使用 HTTP 上傳數(shù)據(jù)

用戶向網(wǎng)站發(fā)表評論：

結語

以上就是通過使用wireshark對DHCP、DNS、HTTP的數(shù)據(jù)包進行分析案例。