Re: tcpdump -i wlan0 port bootpc

To: Geert Stappers <stappers@stappers.nl>
Cc: debian-user-dutch@lists.debian.org
Subject: Re: tcpdump -i wlan0 port bootpc
From: Wouter Verhelst <wouter@debian.org>
Date: Tue, 1 Jan 2019 21:29:47 +0100
Message-id: <[🔎] 20190101202947.GE8149@grep.be>
In-reply-to: <20181230114203.td5xqsl7v2jienkq@gpm.stappers.nl>
References: <20181229231201.xrtkzjfp3jpqidmv@gpm.stappers.nl> <20181230090621.GE30092@grep.be> <20181230114203.td5xqsl7v2jienkq@gpm.stappers.nl>

On Sun, Dec 30, 2018 at 12:42:03PM +0100, Geert Stappers wrote:
> On Sun, Dec 30, 2018 at 10:06:21AM +0100, Wouter Verhelst wrote:
> > On Sun, Dec 30, 2018 at 12:12:01AM +0100, Geert Stappers wrote:
> > > 
> > > Hoi,
> > > 
> > > Op een laptop zie ik met `sudo tcpdump -i wlan0` allerlei broadcasts
> > > voorbij komen. Onder andere  ARP.
> > > 
> > > Nu wil ik in zoomen op DHCP requests en zeg dan
> > >  `sudo tcpdump -i wlan port bootpc`
> > > maar dan zie die broadcasts _niet_ voorbij komen.
> > > 
> > > Is dat in jullie network ook zo?
> > 
> > Dat is normaal.
> 
>  :-)
> 
> > Als je vraagt om alleen requests te zien over de "bootpc" poort,
> > dan zie je geen requests die die poort niet gebruiken.
> > Vermits ARP geen TCP of UDP-requests zijn, krijg je natuurlijk ook geen
> > ARP requests met zo'n filter.
> 
> Net als de "ARP who has" is de "DHCP Discover" een ethernet broadcast.

DHCP discover is dat inderdaad, maar DHCP request niet. Discover is
gewoon om te zien waar de DHCP server zit; eens die zegt "hallo, ik ben
hier", komt er de DHCP request, die een unicast-bericht is en vraagt om
een IP-adres te krijgen.

Wanneer een client reeds weet waar de DHCP server zit, moet die bij een
expiry van de DHCP lease ook niet mer doen dan gewoon opnieuw een DHCP
request -- dus een discover is dan niet meer nodig, en dus een broadcast
ook niet.

Normaal gezien is de communicatie dan ook als volgt:

C: discover ("hallo, is hier iemand?")
S: offer ("yo, ik ben hier, hier is een IP-adres")
C: request ("hallo, mag ik dit adres gebruiken?")
S: ack ("go ahead")
...
C: request ("hallo, mag ik dit adres (blijven) gebruiken?")
S: ack ("go ahead")
...

enzovoort.

Als een DHCP server bij een renew niet op tijd reageert, dan zal na een
timeout de client wel opnieuw een discover uitsturen -- maar dat is een
uitzonderlijke situatie die je dus normaal gezien niet zou mogen zien.

> Eigenschap van een ethernernet broadcast is die "overal" te zien is.
>
> Dat ik gisterenavond op een wifi interface wel ARP zag, maar geen bootpc
> vond ik dan ook vreemd.

Is ook perfect normaal :-)

> Ik zie nu wel de bootpc packetten. Verschil ten opzicht van gisteren
> is dat nu de (test) DHCP Discover vanaf echt ethernet komt ( i.p.v.
> een andere wifi computer)

Als het een "test" discover is, dan heb je op die machine misschien nog
geen eerdere DHCP lease staan? Dan is ook dat normaal. Bij een tweede
dhcp zal je dat waarschijnlijk niet meer zien.

> Waarom de "wifi to wifi broadcast" niet werkt is low prio voor mij.
> Ik kan vooruit met de "ethernet originated DHCP Discover"
> Dank
> 
> > Persoonlijk vind ik tcpdump niet echt handig voor dit soort dingen, en
> > gebruik ik liever wireshark om zaken te filteren en bekijken. Dat doe je
> > zo:
> > 
> } sudo tcpdump -i wlan0 -w PCAPfile
> > [... wacht ...]
> > ^C
> } wireshark PCAPfile
> > 
> > en dan kan je gewoon filteren in de uitvoer...
> > 
> 
> Ja `wireshark PCAPfile` is fijner dan `tcpdump -r PCAPfile`.
> 
> Wireshark kan overigens "on the fly" capturen en filteren.

Uiteraard.

-- 
To the thief who stole my anti-depressants: I hope you're happy

  -- seen somewhere on the Internet on a photo of a billboard

Reply to:

Next by Date: openvpn
Next by thread: openvpn
Index(es):
- Date
- Thread