En nyt mikään varsinainen velho ole tuossa hommassa mutta katsotaan. Nopean vilkaisun jälkeen tiedän että sun linuxilla toimivan laitteen nimi on ilmeisesti "linux7" ja sen mac osoite on ilmeisesti 44:d9:e7:9e:85:87. Sun HP kytkimellä tai jollain muulla on CDP:n sijaan valmistajariiippumattomampi vastaava toiminto päällä (LLDP) mutta se ei ny haittaa mitään.
Tein tuosta "follow stream" toiminnolla automaattisesti tämmöisen haku loitsun:
(ip.addr eq 0.0.0.0 and ip.addr eq 255.255.255.255) and (udp.port eq 68 and udp.port eq 67)
Eli se näyttää kaikki 0.0.0.0.0 tai 255.255.255.255 osoitteella luodut udp portteihin 68 ja 67 osuvat paketit..
Nopsaan kun noita kattelee, niin noin 9 sec välein sun laitteet pyytää DHCP:ltä osoitetta. Mutta mutta. Tuossa on vaan perus ARP tauhakaa tuon lisäksi mukana. Sun laitteet ei näytä saavan _mitään_ vastausta DHCP pyyntöön .
3 laitetta näin pyytelevän osoitetta:
numero 73. 78:8a:20:bc:11:77 6.3 sec (Joku Ubicuiti laite?)
numero 113. 00:11:25:80:d5:d3 10.3 sec (IBM)
numero 163. 44:d9:e7:9e:85:87 14.9 sec (linux7)
Nämä huutelee DHCP:ltä osoitetta pakettiin numero 469 asti. Siinä tapahtuu muutos. Transaktio id:llä 0x12fbde82, 44:d9:e7:9e:85:87 laite (linux7) huutaa ajassa 42.2871830 DHCP serveriltä (miltä tahansa) osoitetta itselleen. Tässä kohtaa osoitehuuteluun tulee vihdoin vastausta.
Ajassa 43.3108120 bootp protokollalla tulee vastaus serveriltä 2c:ab:eb:27:f0:19 serverin IP taitaa olla 10.20.144.1 (eipäs kun tämä taitaa olla 10.14.8.54)
bootp vastauksen sisältö kertoo että:
Clientille tulee osoite (siis sun koneelle) 80.220.155.215.
Clientille tulee gatewayksi "relay agent" 80.220.152.1 (joo tää vahvistuu bootp paketin sisällä myöhemmin jotta tää on Router ip)
Osoitteen lease aika on VAIN 30 minuuttia. Winkkarit kysyy siis 15min välein jo jotta saako jatkaa samalla IP:llä...
CLientin aliverkon peite (subnetmask) on 255.255.252.0
DNS:ät on paketissa tarjottu olevan 193.210.19.19 ja 193.210.18.18)
domain name on cable.inet.fi
Tuohon serverin vastaukseen sun clientti reagoi näin:
Pyydänpä uudestaan DHCP:ltä osoitetta (wtf?) Nyt menee yli mun ymmärryksen. Ihan käsittämätöntä. Juurihan tämä sai osoitteen perille ja siinä nähdäkseni kaikki validi tieto tarjolla.
Ok. Sitten serveri vastaa heti perään uudestaan. Sun clientti saa ihan eri osoitteen nyt kuin viimeksi. Mutta muut arvot ovat samat. Se on sinänsä loogista, koska (katso tämän alla olevan kuvan alla)
sun tietokone pyysi ihan _sokkona_ tuota uutta IP:tä itselleen:
Se ei ollut käsitellyt serveriltä tullutta pakettia mitenkään kun se pyysi tuota osoitetta uudestaan heti sen saatuaan...
Katsotaanpa kuittaako se laite nyt serverille että "joo, kiitos, sain osoitteen.. Voinko siirtyä käyttämään sitä?"
Muistiin se että nyt tarjotu IP on 80.220.153.198. Edellinen osoite oli 80.220.155.215.
Eli nyt tutkitaan nämä paketit mitä sieltä tuli "ACK":na takasin. Paketit A ja B eli ID:T 473 ja 474
Paketti A (473) kertoo seuraavaa:
DHCP serveriksi epäilemäni laite 10.20.144.1 vastaa laitteelle 80.220.155.215 (tässä on jotain tuttua. Tämähän oli se eka osoite jota sun laitteelle tarjottiin) seuraavaa:
Käytä client osoitteena osoitetta 80.220.155.215 samat jargonit kuin aiemminkin siis. Ja 30minuutin DHCP lease.
Paketti A tutkittu. Mites sitten toi paketti B.
Muuten identtinen kuin paketti A, mutta nyt tuleekin Option 51 kohdassa (lease time) DHCP leaseen ajaksi 12tuntia!
Sekunnit olivat tässä kohtaa wiresharkaamisen alkamisesta edenneet 43 sekunnin kohdalle. Mä en nyt ihan muista ulkoa miksi tapahtuisi noin että tarjotaan ensin vaan 30min leasea ja sitten 12h. Ömityistä. En osaa kommentoida tätä sen enempää. Jos tuntisin linux dhcp serveriä paremmin (eli öö edes yhtään pätkän vertaa), voisin ehkä ymmärtää mistä on kyse.
Sen jälkeen näen vain kaks osoitteen pyyntöä hetkeen.. IBM ja se kolmas kampe pyytää osoiteta muttei näytä heruvan vastauksia.
Edetään aina 53 sekuntiin asti. Juur ennen NTP pyyntöään, jonka sun IP.n saanut kone tekee, sun kone vastaa toisen koneen ARP kyselyyn (joku kyselee default gatewaytä, en tutki tätä enempää)
Paketin 586 kohdalla sun kone, joka sai IP:n 80.220.155.215, kyselee NTP:llä aikaa itselleen. Se kysyy sitä serveriltä 192.89.123.26 ja saa ihan sekunnin osissa vastauksen tuolta serveriltä. Sisältö näyttää validilta mun silmään molemmissa paketeissa.
Sekunnin päästä tapahtuu sama homma uudestaan. NTP kuvion tarkkuutta en tiedä että onko tämä vaan "just in case" eka meni pieleen, tehdään toinen. Vain pieniä eroja kellonajoissa ja reference serverin ip osoitteissa. Normaalia. Tähän oikeastaan jäljet päätty NTP:tä toi huutelee tuosta eteenpäin.
IMHO; DHCP palvelussa tai sen viestien välittämisessä on jotain vikaa. Ehkä serveri on ruuhkaantunut yleisesti ottaen joko CPU/RAM/osoitepulan takia?
Mä katson vielä mitä toi osaa kertoa _vain_ sinun tuon linux7 vekotteen osalta. Lähinnä tuosta kohtaa missä se saa se kone DHCP:ltä vihdoin vastakaikua.
lol, ei mistään.
