Что вероятно происходит из-за того, что вы работаете на платформе, где время ожидания ведет себя так же, как в BPF (* BSD, OS X), Solaris или Windows с WInPcap, где базовый пакет Механизм захвата, который использует pcap, не доставляет пакеты сразу, но буферизует пакет пакетов и доставляет их в pcap либо по мере заполнения буфера, либо по истечении времени ожидания, а -1 либо интерпретируется как «no timeout», либо « очень большой тайм-аут ".
В этом случае, если поступает достаточно пакетов для заполнения буфера, как это может быть в случае, если вы получаете HTTP и получаете достаточно большой ответ, или если сеанс IRC включает в себя много пакетов для соединения, пакеты будут отображаться, но если поступают только случайные пакеты, такие как пакеты ARP, в основном в тихой сети, пакеты будут оставаться в буфере до тех пор, пока не прибудет достаточно пакетов для заполнения буфера, что может занять неопределенное время, или истекает очень длительное время ожидания, которое может занять довольно много времени.
Уменьшение времени ожидания (tcpdump использует 1000, т. Е. 1 секунду, а Wireshark использует 100, т. Е. 1/10 секунды) означает, что пакеты будут отображаться в течение достаточно короткого периода времени, даже если пакетов недостаточно для заполнения буфер.