Me gustaría monitorear los paquetes DHCP en un cliente PC conectado a un conmutador / enrutador de 4 puertos.
¿Podré ver los paquetes DHCP enviados o recibidos en los clientes? conectado a otros puertos en este interruptor también?
fuente
Me gustaría monitorear los paquetes DHCP en un cliente PC conectado a un conmutador / enrutador de 4 puertos.
¿Podré ver los paquetes DHCP enviados o recibidos en los clientes? conectado a otros puertos en este interruptor también?
Descubrimientos y solicitudes DHCP (de cliente a servidor): Sí. Estos se transmiten y, por lo tanto, todos en el mismo segmento de red los recibirán.
Ofertas y Acks DHCP (de servidor a cliente): Normalmente no En una red conmutada, estos paquetes solo se reenvían al cliente que los solicita para comenzar, utilizando la tabla ARP del conmutador para determinar el puerto físico. Además, recuerdo usar Ettercap para este propósito exacto tal vez hace 10-15 años.
-Sin embargo-
Puedes olerlo por ello. El concepto es así:
Spoof la dirección MAC de su destino
Recibir y leer paquetes
Vuelva a insertar (reenviar) el paquete una vez que haya terminado con él, para que pueda llegar a su destino correcto.
Muchas suites de software combinan los tres pasos anteriores en varias formas y formas, pero una muy común es Wireshark que está disponible para múltiples plataformas. Esto también le permite ver las solicitudes DHCP que normalmente son ignoradas por su sistema operativo. tcpdump también es una herramienta muy común, pero que yo sepa, solo está disponible para Linux y sistemas similares a Unix, además de que no hace un rastreo falso.
Básicamente, lo que está buscando es algo que permite "Detección unificada mediante envenenamiento ARP" además de la capacidad de captura de paquetes.
Podrás ver el emisión mensajes del servidor y los clientes, pero parte de la información será transmitida por unicast en lugar de transmitir, y eso depende del estado del cliente y de cómo elija seguir las especificaciones del RFC 2131. Tú mayo Podrá ver parte del tráfico de unidifusión de otros puertos en su conmutador, pero no espere. Las renovaciones suelen utilizar unicast.
http://www.freesoft.org/CIE/RFC/2131/33.htm
Esta tabla resume algunos de los estados de difusión / unicast. http://www.freesoft.org/CIE/RFC/2131/28.htm
Los paquetes de descubrimiento siempre se transmiten. La solicitud siempre se transmite Si el cliente no tiene una dirección, pero mayo Se unicast en la renovación. Las ofertas y los paquetes de confirmación pueden depender de la implementación. Recomendaría leer el RFC para familiarizarse con el uso de la transmisión. Es más probable que vea el tráfico en la adquisición inicial de direcciones que en las renovaciones.
fuente