{"id":3484,"date":"2012-05-14T10:09:43","date_gmt":"2012-05-14T08:09:43","guid":{"rendered":"https:\/\/eltallerdelbit.com\/?p=3484"},"modified":"2020-08-30T22:17:55","modified_gmt":"2020-08-30T20:17:55","slug":"filtrar-dhcp-wireshark","status":"publish","type":"post","link":"https:\/\/eltallerdelbit.com\/filtrar-dhcp-wireshark\/","title":{"rendered":"Filtrar DHCP con Wireshark"},"content":{"rendered":"
<\/p>\n <\/p>\n <\/p>\n Whireshark <\/em>nos permite tambi\u00e9n crear filtros para mostrar los paquetes adecuados, seg\u00fan el tipo de tr\u00e1fico que estemos buscando. <\/p>\n <\/p>\n DHCP realiza una petici\u00f3n de par\u00e1metros de red.<\/p>\n El cliente difunde una petici\u00f3n con direcci\u00f3n or\u00edgen 0.0.0.0 y direcci\u00f3n destino 255.255.255.255.<\/p>\n En esta petici\u00f3n se incluye la direcci\u00f3n Ethernet<\/a> del cliente (direcci\u00f3n MAC), para poder devolver la petici\u00f3n adecuadamente. <\/p>\n El Servidor contesta con los par\u00e1metros de red, otorgando Direcci\u00f3n IP<\/a>, M\u00e1scara de red, gateway, nombre de dominio<\/a>, y direcci\u00f3n iP del servidor, por si es necesario renovar el pr\u00e9stamo.<\/p>\n <\/p>\n El cliente comunica que \u00a0ha recibido la oferta dhcp. De esta forma evita m\u00e1s ofertas de otros servidores dhcp.<\/p>\n <\/p>\n El servidor DHCP<\/strong> manda un mensaje de reconocimiento al cliente , y este ya puede utilizar los par\u00e1metros que recibi\u00f3.<\/p>\n Podemos apreciar la direcci\u00f3n Origen 192.168.1.1 y la direcci\u00f3n destino 192.168.1.130<\/p>\n <\/p>\n Cuando el servidor avisa al cliente que el contrato ha terminado o que la direcci\u00f3n no es v\u00e1lida. <\/p>\n
\nLo que nos interesa es capturar los paquetes DHCP con Wireshark<\/strong>, entre todo el trafico que capturemos, y como sabemos que DHCP<\/em> utiliza BOOTP<\/a><\/em>, tambi\u00e9n sabemos que utiliza los puertos 67 y 68<\/strong>. As\u00ed que ese es el filtro que vamos a hacer para encontrar el tr\u00e1fico DHCP<\/strong>.
\n <\/p>\n\n
\n
\n
\n <\/p>\n\u00bfQu\u00e9 es el DHCP y c\u00f3mo funciona?<\/span><\/h3>\n
\nLo primero unos conceptos b\u00e1sicos sobre DHCP<\/em><\/strong>:
\n
\n—> El DHCP<\/em> es un Sistema din\u00e1mico de asignaci\u00f3n de direcciones IP de red (Protocolo DHCP<\/strong> es el protocolo de Configuraci\u00f3n din\u00e1mica de Host<\/em>). Las direcciones IP que reciben los clientes cuando se conectan a la red, se asignan de forma din\u00e1mica por el servidor DHCP<\/em>.
\n
\n
\ny sobre Wireshark<\/em>
\n
\n—> Whireshark<\/a><\/strong> es un analizador de tr\u00e1fico en la red con el que capturaremos y analizaremos los paquetes DHCP<\/strong> que se transmiten por la red.
\n <\/br><\/br><\/p>\nAnalizando la red con Whireshark<\/span><\/h3>\n
\nEn esta pr\u00e1ctica que vamos a realizar, Whiresark<\/em><\/strong> nos mostrar\u00e1 el movimiento de paquetes que haya por la red. Pero si tuvi\u00e9ramos que buscar uno a uno los paquetes , podr\u00edamos no encontrarlos o dejarnos alguno.<\/p>\n
\n <\/p>\n—> A continuaci\u00f3n vamos a aplicar un filtro en Whireshark<\/strong> para encontrar los paquetes relacionados con DHCP<\/strong><\/span><\/h4>\n
\nComo dec\u00edamos al principio, sabemos que DHCP<\/strong> utiliza BOOTP<\/em>, y por tanto sabemos que utiliza los puertos 67 \u00a0y 68<\/strong>.
\n
\n–> As\u00ed que comenzamos a capturar con Whireshark<\/strong> , conectamos la red (para activar el DHCP<\/strong>), paramos la captura y nos disponemos a buscar los paquetes adecuados con este filtro :<\/p>\nudp.port == 67<\/pre>\n
\n
\n
\n
\n <\/p>\nCAPTURANDO CON WHIRESHARK LOS PAQUETES DEL SERVICIO DHCP<\/a><\/span><\/span><\/h3>\n
\n
DHCP Discover<\/strong><\/span><\/h4>\n<\/li>\n<\/ul>\n
\n
\n
\n <\/p>\n\n
\u00a0DHCPOFFER<\/span><\/h4>\n<\/li>\n<\/ul>\n
\n <\/p>\n\n
\u00a0DHCPREQUEST<\/span><\/em><\/h4>\n<\/li>\n<\/ul>\n
\n <\/p>\n\n
\u00a0DHCPACK<\/em><\/span><\/h4>\n<\/li>\n<\/ul>\n
\n <\/p>\n\n
\u00a0DHCPNAK<\/em><\/span><\/h4>\n<\/li>\n<\/ul>\n
\n <\/p>\n