Citando questa risposta di Security SE:
CAP_NET_RAW :è possibile falsificare qualsiasi tipo di pacchetto, inclusi mittenti contraffatti, invio di pacchetti malformati, ecc., questo consente anche di legarsi a qualsiasi indirizzo (associato alla possibilità di falsificare un mittente, ciò consente di impersonare un dispositivo, legittimamente utilizzato per "trasparente proxying" come da manpage ma dal punto di vista di un utente malintenzionato questo termine è sinonimo di Man-in-The-Middle),