Можно ли проследить с помощью tcpdump/wireshark/iptraf, "крадет" ли J, JS реальный айпи etc.?!

Учитывая, что обычно (и слава богу) названные сайты работают по HTTPS, то довольно затруднительно. Если только будете сами свой браузер MITM'ить, тогда да, вполне.

То есть, они "крадут" его не путем передачи пакета с реального адреса (что видно по заголовкам пакета), а определяют его и передают в теле пакета, который при работе по https зашифрован?

J, JS или даже Flash могут передать какие-либо данные, предварительно зашифровав их или хотя бы применив обфускацию.

не путем передачи пакета с реального адреса <...> а определяют его и передают в теле пакета

Второй вариант чаще ближе к эксплойту против браузера, поэтому несколько менее вероятен.

1. Как-то мне попадалось обсуждение, что J способен украсть и внешний, и внутренний ip, и что JS не способен украть внешний ip, а только внутренний (если машина за NATом). Это правда или это частный случай? И если правда, то по каким причинам нельзя написать JS, чтобы он крал внешний адрес? А что касается флеша по этому вопросу?.
2. unknown, но если пакет передается с реального адреса машины, то почему я не увижу его в заголовках пакета в tcpdump и т.п.?

И если правда, то по каким причинам нельзя написать JS, чтобы он крал внешний адрес?

JS выполняется в песочнице браузера. Предполагается, что при отсутствии ошибок в её реализации (смелое допущение) исполняемый код не может получить больше информации, чем способен дать браузер.

А что касается флеша по этому вопросу?

Флэш исполняется в собственной песочнице с более широкими возможностями (и, возможно, дырами).

но если пакет передается с реального адреса машины, то почему я не увижу его в заголовках пакета в tcpdump и т.п.?

Он проходит сетевой интерфейс уже будучи зашифрованным и инкапсулированным в https-трафик. Потенциально его может отловить лишь сам браузер перед отправкой.