Suricata DHCP解析

Question

我正在使用Suricata开发一种功能，该功能将提醒我注意DHCP Inform数据包中的特定供应商标识符。我将Suricata配置为启用DHCP日志记录，并将扩展选项设置为“yes”。这可确保所有DHCP数据包都记录在Suricata的EVE日志中。但是，我似乎无法使用这些设置从包中的选项中提取供应商类别标识符(选项60)。我已经向Wireshark验证过，这个选项确实存在于我的数据包中(下面的屏幕截图中有我想要突出显示的选项)，但我在EVE日志中没有看到该数据(示例如下)。

​

​

{"timestamp":"2015-04-13T09:31:26.508501+0000","flow_id":1912151869407829,"pcap_cnt":77868,"event_type":"dhcp","src_ip":"192.168.0.54","src_port":68,"dest_ip":"255.255.255.255","dest_port":67,"proto":"UDP","ether":{"src_mac":"ec:f4:bb:4f:b0:96","dest_mac":"ff:ff:ff:ff:ff:ff"},"dhcp":{"type":"request","id":41767348,"client_mac":"ec:f4:bb:4f:b0:96","assigned_ip":"0.0.0.0","client_ip":"192.168.0.54","dhcp_type":"inform","client_id":"ec:f4:bb:4f:b0:96","hostname":"Dell-Dator32","params":["subnet_mask","domain","router","dns_server"]},"pcap_filename":"snort.log.1428883207"}

但是，我确实在EVE日志中看到了其他选项，比如客户机标识符(本质上是MAC)和客户机主机名。这是不是这些选项根本不能被Suricata解析器解析的情况？我看过Suricata的源代码，似乎Rust解析器具有解析所有选项的逻辑。有没有人以前遇到过这个问题，或者可以给我指出正确的方向？谢谢!

Answer 1

Suricata记录的DHCP选项不是诱导性的，并且当前没有记录选项60。这看起来并不难做到。我建议在问题跟踪器中提交一个功能请求：

https://redmine.openinfosecfoundation.org/projects/suricata/issues