无盘DHCP抓包

常用参数

指定网卡：-i <接口名称> ，例如对eth0抓包，那么就是 -i eth0，不加的时候默认是对eth0抓包

保存文件：-w <文件名称>，一般配合 -s 参数使用，例如：-w /tmp/abcd.cap -s 0，

抓包长度：-s <长度>，配合-w使用，我们一般都设为0

详细输出：-v，需要更详细时用 -vv

抓包条件

抓TCP包：tcp，例如：tcpdump tcp，协议常见的有tcp，udp，arp，icmp

对指定IP地址抓包： host <IP地址>，例如：tcpdump -i eth0 ip 10.0.100.11

对指定端口抓包：port <端口号>，例如：tcpdump -i eth0 port 67

对指定MAC抓包：ether host <MAC地址>，例如：tcpdump -i eth0 ether host 11-22-33-44-55-66

组合条件

上面说的可以用 and 或者 or 来组合使用，例如：

对指定IP地址抓UDP包：tcpdump udp and host 10.0.100.11

完整例子

对网卡eth0的DHCP端口抓包，并存入文件

[~]# tcpdump -i eth0 -s 0 -w /tmp/dhcp.cap port 67

对某个MAC地址抓包并保存

[~]# tcpdump -i eth0 -s 0 -w /tmp/mac.cap ether host 11-22-33-44-55-66

对10.0.100.11抓tcp包

[~]# tcpdump -i eth0 -s 0 -w /tmp/abcd.cap tcp and host 10.0.100.11