Basta usar tcpdump para ler seu arquivo de captura e escrever um novo arquivo:
tcpdump -r all.pcap -w port80.pcap port 80
tcpdump -r all.pcap -w other.pcap ! port 80
É possível dividir o PCAPS em vários arquivos com base em critérios simples
Origional.pcap {dividir na porta 80} que gera os 2 arquivos a seguir
Ou seria mais fácil criar vários tcpdumps diferentes que correspondam aos meus critérios
Obrigado
Outra opção é usar PcapSplitter que faz parte do PcapPlusPlus suite. Você não especificou o sistema operacional no qual está interessado, mas o PcapSplitter funciona no Windows, Linux e Mac OS X. Você pode usá-lo da seguinte maneira:
PcapSplitter -f all.pcap -o D:\Output -m bpf-filter -p "port 80"
Ele produzirá dois arquivos: all-0000.pcap conterá os pacotes da porta 80 e all-0001.pcap conterá o restante dos pacotes
Aparentemente, a última versão do PcapPlusPlus não contém esse recurso, então você terá que compilá-lo você mesmo a partir do código-fonte
Tags pcap