O link acima é para o pcapng, o formato de arquivo pcap de próxima geração. Ele permite recursos maravilhosos e uma grande quantidade de funcionalidades, mas é provavelmente um exagero para as suas necessidades.
Supondo que você queira apenas registrar os pacotes, o formato de arquivo pcap original deve atender às suas necessidades e é fácil de escrever: 24 bytes de informação de cabeçalho global seguido por um cabeçalho de 16 bytes + dados de pacote para cada pacote. O Tcpdump (e o Wireshark e tudo mais) irão lê-lo bem. Você pode até mesmo (e possivelmente deveria) incluir o cabeçalho SLIP.