Кажется, это появляется только с -e и для меня только в моем интерфейсе VPN, например:
> sudo tcpdump -enn -i utun1
...
11:35:22.440690 AF IPv4 (2), length 32: 1.2.3.4.1234 > 1.2.3.5.1234: [|domain]
Изменить: тестирование с помощью Wireshark, похоже, что в интерфейсах VPN отсутствует заголовок Ethernet. Мне все еще не ясно, что должно означать «AF», но, похоже, это означает, где обычно идут адреса канального уровня.
В вашем случае "AF"строка - это просто имя поля. Далее следует фактическое значение семейства адресов. Если вас интересуют более подробные сведения, вы можете изучить исходный код.