jó esetben nem a libpcap-től függ hogy honnan tud capture-elni, hanem hogy mi van a process capabilitijei között (ami meg ugye függ az /etc/security/capability.conf-tól, meg az esetlegeses fcaps-októl, de utóbbi esetben pendrive kilőve (ha csak nem képes pendriveot automatikusan xattr-al együtt mountolni..). ha a processnek nincs CAP_NET_ADMIN meg CAT_NET_RAW, akkor nem fog sniffelni, akármilyen libpcap is van mögötte, a kernel nem engedi..
I hate myself, because I'm not open-source.