Provavelmente foi o TCP Transmission Segmentation Offload (TSO), possivelmente em conjunto com Large Receive Offload (LRO).
Você capturou em uma das máquinas que está fazendo o teste, em vez de em uma máquina independente de observadores. Então, você não viu realmente o que estava no fio, você viu o que ficava entre a pilha de rede do seu host e sua Ethernet NIC. E quando uma NIC está fornecendo serviços como TSO e LRO para seu host, os pacotes entre o host e sua NIC são muito maiores do que o que a NIC está realmente enviando / recebendo na conexão.
Se for muito inconveniente configurar um sniffer separado e um espelhamento de porta, provavelmente você poderá desabilitar o TSO e o LRO para ver algo mais parecido com o que realmente estaria no fio.
Por exemplo, se seus servidores estiverem executando o OS X, você poderá usar esses sysctls para desabilitar TSO e LRO:
sudo sysctl -w net.inet.tcp.tso=0 net.inet.tcp.lro=0
Naturalmente, você provavelmente obterá maior utilização da CPU e menor taxa de transferência se fizer isso, mas pelo menos sua captura de pacotes parecerá mais sã.