Filtrar DHCP con Wireshark

Vamos a ver cómo filtrar el tráfico DHCP con Wireshark.

 
Lo que nos interesa es capturar los paquetes DHCP con Wireshark, entre todo el trafico que capturemos, y como sabemos que DHCP utiliza BOOTP, también sabemos que utiliza los puertos 67 y 68. Así que ese es el filtro que vamos a hacer para encontrar el tráfico DHCP.
 

 

 
 

¿Qué es el DHCP y cómo funciona?

 
Lo primero unos conceptos básicos sobre DHCP:
 
—> El DHCP es un Sistema dinámico de asignación de direcciones IP de red (Protocolo DHCP es el protocolo de Configuración dinámica de Host). Las direcciones IP que reciben los clientes cuando se conectan a la red, se asignan de forma dinámica por el servidor DHCP.
 
 
y sobre Wireshark
 
—> Whireshark es un analizador de tráfico en la red con el que capturaremos y analizaremos los paquetes DHCP que se transmiten por la red.
 

 

 

Analizando la red con Whireshark

 
En esta práctica que vamos a realizar, Whiresark nos mostrará el movimiento de paquetes que haya por la red. Pero si tuviéramos que buscar uno a uno los paquetes , podríamos no encontrarlos o dejarnos alguno.

Whireshark nos permite también crear filtros para mostrar los paquetes adecuados, según el tipo de tráfico que estemos buscando.
 

 

—> A continuación vamos a aplicar un filtro en Whireshark para encontrar los paquetes relacionados con DHCP

 
Como decíamos al principio, sabemos que DHCP utiliza BOOTP, y por tanto sabemos que utiliza los puertos 67  y 68.
 
–> Así que comenzamos a capturar con Whireshark , conectamos la red (para activar el DHCP), paramos la captura y nos disponemos a buscar los paquetes adecuados con este filtro :

1
udp.port == 67

 
Paquetes dhcp con Whireshark
 

 

CAPTURANDO CON WHIRESHARK LOS PAQUETES DEL SERVICIO DHCP

 

  • DHCP Discover

DHCP realiza una petición de parámetros de red.

El cliente difunde una petición con dirección orígen 0.0.0.0 y dirección destino 255.255.255.255.

En esta petición se incluye la dirección Ethernet del cliente (dirección MAC), para poder devolver la petición adecuadamente.
 
DHCP Discover
 

 

  •  DHCPOFFER

El Servidor contesta con los parámetros de red, otorgando Dirección IP, Máscara de red, gateway, nombre de dominio, y dirección iP del servidor, por si es necesario renovar el préstamo.

dhcp offer
 

 

  •  DHCPREQUEST

El cliente comunica que  ha recibido la oferta dhcp. De esta forma evita más ofertas de otros servidores dhcp.

dhcp request
 

 

  •  DHCPACK

El servidor DHCP manda un mensaje de reconocimiento al cliente , y este ya puede utilizar los parámetros que recibió.

Podemos apreciar la dirección Origen 192.168.1.1 y la dirección destino 192.168.1.130

dhcp ack
 

 

  •  DHCPNAK

Cuando el servidor avisa al cliente que el contrato ha terminado o que la dirección no es válida.
 

 

  •  DHCPRELEASE

Cuando el servidor avisa de que el contrato ha terminado.
 

 
Más info adicional sobre DHCPConfigurar un servidor de DHCP del IOS de Cisco | Packet Tracer