
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML><HEAD>

<META content="text/html; charset=iso-8859-1" http-equiv=Content-Type>

<META name=GENERATOR content="MSHTML 8.00.6001.19190">

<STYLE></STYLE>

</HEAD>

<BODY bgColor=#ffffff>

<DIV><FONT size=2 face=Arial>Hello,</FONT></DIV>

<DIV><FONT size=2 face=Arial></FONT> </DIV>

<DIV><FONT size=2 face=Arial>I have a strange situation here because Wireshark 

reports a lot of Notes for Malformed DHCP Requests coming from users on our 

network. The details for one messege look like this:</FONT></DIV>

<DIV><FONT size=2 face=Arial></FONT> </DIV>

<DIV><FONT size=2 face=Arial>Severity: Note</FONT></DIV>

<DIV><FONT size=2 face=Arial>Group: Malformed</FONT></DIV>

<DIV><FONT size=2 face=Arial>Chats: BOOTP/DHCP</FONT></DIV>

<DIV><FONT size=2 face=Arial>Details: Seconds elapsed (4) appears to be encoded 

as little-endian</FONT></DIV>

<DIV><FONT size=2 face=Arial></FONT> </DIV>

<DIV><FONT size=2 face=Arial>Bootstrap Protocol</FONT></DIV>

<DIV><FONT size=2 face=Arial>    Message type: Boot Request 

(1)</FONT></DIV>

<DIV><FONT size=2 face=Arial>    Hardware Type: 

Ethernet</FONT></DIV>

<DIV><FONT size=2 face=Arial>    Hardware address length: 

6</FONT></DIV>

<DIV><FONT size=2 face=Arial>    Hops: 1</FONT></DIV>

<DIV><FONT size=2 face=Arial>    Transaction ID: 

0x207572a1</FONT></DIV>

<DIV><FONT size=2 face=Arial>Seconds elapsed: 4</FONT></DIV>

<DIV><FONT size=2 face=Arial>    [Expert Info (Note/Malformed): 

Seconds elapsed (4) appears to be encoded as little-endian]</FONT></DIV>

<DIV><FONT size=2 face=Arial>    [Message: Seconds elapsed (4) 

appears to be encoded as little-endian]</FONT></DIV>

<DIV><FONT size=2 face=Arial>    [Severity level: 

Note]</FONT></DIV>

<DIV><FONT size=2 face=Arial>    [Group: Malformed]</FONT></DIV>

<DIV><FONT size=2 face=Arial>Bootp flags: 0x8000 (Broadcast)</FONT></DIV>

<DIV><FONT size=2 face=Arial>    Client IP address: 0.0.0.0 

(0.0.0.0)</FONT></DIV>

<DIV><FONT size=2 face=Arial>    Next server IP address: 0.0.0.0 

(0.0.0.0)</FONT></DIV>

<DIV><FONT size=2 face=Arial>    Relay agent IP address: x.y.z.w 

(x.y.z.w) [replaced for confidentiality]</FONT></DIV>

<DIV><FONT size=2 face=Arial>    Client MAC address: 

AsustekC_62:e4:5b (00:22:15:62:e4:5b)</FONT></DIV>

<DIV><FONT size=2 face=Arial>Client hardware address padding: 

00000000000000000000</FONT></DIV>

<DIV><FONT size=2 face=Arial>Server host name not given</FONT></DIV>

<DIV><FONT size=2 face=Arial>Boot file name not given</FONT></DIV>

<DIV><FONT size=2 face=Arial></FONT> </DIV>

<DIV><FONT size=2 face=Arial>Would anyone be so kind to let me know what is 

causing the "Malformed" detection and what can we do in order to fix this issue. 

</FONT></DIV>

<DIV><FONT size=2 face=Arial>We use Sandvine for subscribers mapping and their 

DPI engine has dificulties to correct map the dynamic assigned IPs due to these 

Malformed DHCP packets.</FONT></DIV>

<DIV><FONT size=2 face=Arial></FONT> </DIV>

<DIV><FONT size=2 face=Arial>Thank you in advance for any answer that can help 

us fix this problem,</FONT></DIV>

<DIV><FONT size=2 face=Arial>Julian</FONT></DIV></BODY></HTML>