Existe uma ferramenta de linha de comando chamada editcap
(parte da família wireshark) que pode filtrar arquivos pcap por intervalo de tempo. Há mais informações nas respostas a esta pergunta no StackOverflow:
Existe também uma ferramenta chamada logdissect
que pode filtrar a saída do terminal tcpdump e a saída para o formato de saída do terminal do tcpdump, ou json (com alguns campos básicos como host de origem / destino, protocolo, data). Não é possível exportar para o pcap, infelizmente, mas se você não precisar de saída do pcap, ele pode filtrar por vários critérios diferentes. Está disponível no pip (instalador preferencial do python), e está no github com instruções de configuração.
Apenas por uma questão de divulgação completa, eu escrevi logdissect. Eu normalmente não menciono meus próprios projetos aqui, mas isso pode ajudar nessa situação.