DHCP 動 態 主 機 配 置 協 議 （ Dynamic Host Configuration Protocol）

1、DHCP包頭

操作代碼 OpCode：DHCP 請求或者 DHCP 回復

硬件類型 Hardware Type：10MB 以太網、IEEE802、ATM 等

硬件長度 Hardware Length：硬件地址長度

跳數 Hops：中繼代理用來幫助尋找 DHCP 服務器

事務 ID：用來匹配請求和響應的一個隨機數

消耗時間 Seconds Elasped：客戶端首次向服務器發出請求后的時間

標記 Flags：客戶端能夠接受的流量類型（單播、廣播以及其他）

你的 IP：服務器為客戶端提供的 IP

2、數據包分析

discover

offer

request

ack

3、租約內續約

當一個擁有了 IP 的客戶端在租約內重新啟動，需要進行一次精簡版的 DORA 過程來重新認領它的 IP，只需要完成請求和確認后兩步就可以了。

DNS域名系統 （Domain Name System）

1、DNS包頭

QR：查詢/.響應 Query/Response，指明數據包是查詢還是響應

AA：權威應答 Authoritative Answer，表示由域內權威域名服務器發出的

TC：截斷 Truncation，指明響應太長，無法裝入數據包而被截斷

RD：期望遞歸 Recursion Desired，表示客戶端在目標服務器不含請求信息時要求遞歸查詢

RA：可用遞歸 Recursion Available，表示域名服務器支持遞歸查詢

Z：保留

2、數據包分析

3、DNS問題類型

4、DNS 遞歸

客戶端捕獲的 DNS 數據包：

內部 DNS 服務器 102 設置了期望遞歸查詢：

服務器端捕獲的 DNS 數據包：

DNS 服務器進行了遞歸應答，內部 DNS 服務器 102 不知道 nstarch.com 域名的 IP，由

于設置了期望遞歸，所以它會向其他 DNS 服務器詢問，得到回答會告訴客戶端。

5、DNS 區域傳送

出于冗余備份的需要，在兩臺設備間傳送區域數據。

·完整區域傳送 AXFR：將整個區域在設備間進行傳送。

·增量區域傳送 TXFR：僅傳送區域信息的一部分。

DNS 在一些如區域傳送的任務中仍會使用 TCP 協議：

前三個包是 TCP 三次握手，第 4 個包是 164 和 139 間進行區域傳送，不包含 DNS 信息，

請求數據由多個包發送，因此第 4 包標記了“重組裝 PDU 的 TCP 分片”，包 5 是對數據包

4 的接收確認，包 6 為 DNS 完整區域傳送請求。

HTTP 超文本傳輸協議 （Hypertext Transfer Protocol）

1、使用 HTTP 瀏覽

2、使用 HTTP 上傳數據

用戶向網站發表評論：

結語

以上就是通過使用wireshark對DHCP、DNS、HTTP的數據包進行分析案例。