求助：提取收到的ip报文中内容时，网络字节序到主机字节序的转换问题

我发送一个icmp时间戳请求报文，然后从目标主机回复我的icmp时间戳回显报文中提取时间戳的时候，遇到一个问题：在对windows系统主机探测时，提取出的内容不需要进行网络字节序到主机字节序的转换（此时如果用ntohl就会出错）；但是在对linux系统主机探测时就需要网络字节序到主机字节序的转换。这是为什么？我的系统是xp，使用wireshark进行抓包对比。

代码如下：

 m_hSocket = WSASocket (AF_INET, SOCK_RAW, IPPROTO_ICMP, NULL, 0, WSA_FLAG_OVERLAPPED);

bwrote = sendto(m_hSocket, icmp_data, datasize, 0,  (struct sockaddr*)&m_addrDest, sizeof(m_addrDest));

 bread = recvfrom(m_hSocket, recvbuf, MAX_PACKET, 0, (struct sockaddr*)&m_addrFrom, &fromlen);

unsigned int iphdrlen=(((u_char)(*recv))&(0x0F))*4;

sendTime=ntohl(*(u_long*)(recv + iphdrlen + 16));//这里，若目标主机是linux系统，则转换出值是正确的；但若为xp系统， 就不应该转换

有没有知道这里为什么这样，原理是什么？还有怎么判断什么时候该转换什么时候不应该？