如何用tcpdump抓dhcp包

1.dhcp简介

DHCP(Dynamic Host Configuration Protocol),动态主机配置协议，是一个应用层协议。当我们将客户主机ip地址设置为动态获取方式时，DHCP服务器就会根据DHCP协议给客户端分配IP，使得客户机能够利用这个IP上网。

DHCP的前身是BOOTP协议（Bootstrap Protocol）,BOOTP被创建出来为连接到网络中的设备自动分配地址，后来被DHCP取代了，DHCP比BOOTP更加复杂，功能更强大。后面可以看到，在用Wireshark过滤显示DHCP包，需要输入过滤条件BOOTP，而不是DHCP,但或许是因为我使用的Wireshark版本是比较旧的1.12.9,没有在新版本中尝试过，也许可以输入DHCP让其只显示DHCP包。

2. DHCP的实现

DHCP的实现分为4步，分别是： 
第一步：Client端在局域网内发起一个DHCP　Discover包，目的是想发现能够给它提供IP的DHCP Server。 
第二步：可用的DHCP Server接收到Discover包之后，通过发送DHCP Offer包给予Client端应答，意在告诉Client端它可以提供IP地址。 
第三步：Client端接收到Offer包之后，发送DHCP Request包请求分配IP。 
第四步：DHCP Server发送ACK数据包，确认信息。

3.如何用tcpdump抓取dhcp的数据包

tcpdump  -i eth0 udp port 67 or port 68 -vvv

文章来自：how to use tcpdump to filter dhcp packets  

https://www.howtouselinux.com/post/tcpdump-capture-dhcp-dhcpv6-packets