Просто используйте tcpdump
для чтения из вашего файла захвата и записи нового файла:
tcpdump -r all.pcap -w port80.pcap port 80
tcpdump -r all.pcap -w other.pcap ! port 80
Другой вариант - использовать PcapSplitter , который является частью пакета PcapPlusPlus . Вы не указали интересующую вас ОС, но PcapSplitter работает как в Windows, Linux, так и в Mac OS X. Вы можете использовать его следующим образом:
PcapSplitter -f all.pcap -o D: \ Output -m bpf-filter -p "port 80"
Будет выведено два файла: all-0000. pcap будет содержать пакеты порта 80, а all-0001.pcap будет содержать остальные пакеты
Очевидно, последний выпуск PcapPlusPlus не содержит этой функции, поэтому вам придется скомпилировать сам из источника