knockd links contra libpcap para que ele possa assistir tráfego no fio de forma semelhante a qualquer outro sniffer como tcpdump ou wireshark. Isso acontece no nível antes que as regras DROP do iptables (que se integram com a pilha IP) possam ser aplicadas. É por isso que o knockd pode ver o tráfego de entrada e, se você executou o tcpdump, ele também poderá ver o tráfego.
No entanto, se você for rodar algo que exija a libpcap, então você pode querer algo que ofereça propriedades de segurança mais strongs que sequências simples. A autorização de pacote único faz isso.