Um possível motivo é que o tcpdump recebeu um pacote que é encapsulado em outro protocolo ou um quadro que, por exemplo, foi marcado com um ID de VLAN.
Você não vê isso na saída de tcpdump
, pois não especificou nenhum argumento de verbosidade, mas seu filtro não corresponde, pois seu port 443
implicaria, basicamente, not vlan and (proto tcp or proto udp) and port 443
.
Você também pode verificar isso despejando o quadro em hexadecimal usando -xx
e analisando os dados do quadro. Se você conhece o VID em questão, basta adicionar and vlan <VID>
ao seu filtro para obter os pacotes capturados.