Eu adicionaria um serviço de sistema (script) iniciando antes da rede, que lançaria um tcpdump. Dependendo da distribuição do Linux, isso ocorreria em
- scripts de inicialização (por exemplo, /etc/rc3.d/ assumindo o nível de execução 3 em um sistema acionado por 'init')
- ou configurações do systemd (/ etc / systemd / system)
Nota: ao postar isso, tenho uma dúvida se o comando tcpdump será aceito antes que a rede seja iniciada ...