Роскомнадзор, кажется, разделил выгрузку на две части для конспирации

Он проверяет по тому реестру. По тому, который является для провайдеров руководством к действию.

Программирование с использованием PCAP

Хорошо бы отметить, что pcap обладает низкой производительностью. Индустриальные DPI решения ru.wikipedia.org/wiki/Deep_packet_inspection используют dpdk или что-то аналогичное, полностью забирая интерфейс у ядра операционной системы. Думаю, что их присутствие нельзя обнаружить в принципе.
Про DPDK есть статьи на Хабре, например habrahabr.ru/company/selectel/blog/313150