Заголовки IP и TCP нашёл достаточно быстро, но оказалось, что пакеты IP упакованы ещё во что-то, причём это "что-то" - не кадры Ethernet.
Что бы это могло быть?
добавлено 25.04.06
Очередной раз ляпнул глупость
В интерфейсе lo, разумеется, используется Ethernet.
Те "лишние" байты - похоже, служебная информация tdpdump'а, вроде времени перехвата пакета.
Тогда вопрос меняетcя: какую информацию tcpdump добавляет к перехваченным пакетам при записи в файл?
Впрочем, это уже не особо важно
ЗЫ. спасибо всем, кто не ответил
Раз сам понял, в чём ошибка - не так обидно