没有分析过代码，很多都是猜测
先有一个例子tcpdump如何抓GET包:
sudo tcpdump  -ni eth0 'ip and tcp and dst port 80 and tcp[(tcp[12:1]&0xf0)>>2:4]=1195725856'


tcpdump:

建一个PF_SOCKET 协议的socket
选择一个接口并bind
把filter 表达式翻译成BPF指令（由libpcap完成, BPF的介绍在  bpf.pdf   中介绍）
setsockopt SO_ATTACH_FILTER 安装filter
收包（很可能是通过mmap来进行的, 曾经有用过，Documemtation/networking/packet_mmap.txt 有介绍)
打印或者写入文件


kernel: af_paket.c
packet_create 调用 dev_add_pack添加一个handler到协议栈入口
网卡驱动收包之后调用
int netif_receive_skb(struct sk_buff *skb);
上协议栈



如果指定了socket指定ETH_P_ALL, 那么dev_add_pack把handler放这

否则在下面按照协议类型处理


比如ip协议或者arp注册的函数就会在这里处理

即使iptables禁止了，tcpdump也能抓到进来的包

ip注册的函数叫ip_rcv, packet注册的叫packet_rcv
packet_rcv调用run_filter过已经设置好的filter, 它的值作为返回给用户的字节数（默认是96）
run_filter解释执行BPF指令，但是通常效率很高， 有关BPF指令的介绍可以参考bpf.pdf



如果想在程序中抓取特定类型的包， 那么不需要使用libpcap，tcpdump直接翻译一下就可以了
#  tcpdump -dd ip and tcp and dst port 80  -ni eth0
{ 0x28, 0, 0, 0x0000000c },
{ 0x15, 0, 8, 0x00000800 },
{ 0x30, 0, 0, 0x00000017 },
{ 0x15, 0, 6, 0x00000006 },
{ 0x28, 0, 0, 0x00000014 },
{ 0x45, 4, 0, 0x00001fff },
{ 0xb1, 0, 0, 0x0000000e },
{ 0x48, 0, 0, 0x00000010 },
{ 0x15, 0, 1, 0x00000050 },
{ 0x6, 0, 0, 0x00000060 },
{ 0x6, 0, 0, 0x00000000 },
把这个写入到C代码中就可以用了
tcpdump -d ip and tcp and dst port 80  -ni eth0可以看出这些指令的细节
(000) ldh      [12] 协议2字节
(001) jeq      #0x800           jt 2    jf 10  // ipv4 下面其它的根据协议头部很容易理解了
(002) ldb      [23]
(003) jeq      #0x6             jt 4    jf 10
(004) ldh      [20]
(005) jset     #0x1fff          jt 10    jf 6
(006) ldxb     4*([14]&0xf)
(007) ldh      [x + 16]
(008) jeq      #0x50            jt 9    jf 10
(009) ret      #96
(010) ret      #0

开头那个例子表明filter expression可以很复杂 参考  expr_bpf.pdf  
ip and tcp and dst port 80 and tcp[(tcp[12:1]&0xf0)>>2:4]=1195725856

ipv4                                            payload tcp[tcp headlen "(>> 4) *4"  == ">>2": 4b] = "GET "