Ciao,
se cerchi nel man "When tcpdump finishes capturing packets, it will report counts of:"
ti spiega il senso dei contatori.
Dice
che il contatore "packets received by filter" dipende da OS e sua
configurazione, non specifica quale tipo di configurazione.
Qualche informazioni in più qui [1] con riferimento al
codice del Berkely Packet Filter dove parla di dati rimasti nel buffer
di BPF e non ancora processati da libcap,
ed ipotizza che potrebbe verificarsi se tcpdump viene killato senza dare la possibilità al buffer di essere processato.
La stessa fonte consiglia per verificare il contatore di esplicitare
a tcpdump il numero di pacchetti da elaborare con l'opzione -c o di salvare un file di capture e poi contare il numero delle linee.
Ciaoo,
Antonio Bardazzi
[1]
http://unix.stackexchange.com/questions/29367/tcpdump-packets-captured-vs-packets-received-by-filter