Sembra che dovresti essere in grado di estrarre facilmente i cookie dai tuoi pcap con Wireshark o tshark usando i filtri basati sui cookie HTTP.
Dovresti essere in grado di eguagliare http.cookie come stringa in base al riferimento del protocollo dei filtri: link
Alcune informazioni più generali sulla sintassi del filtro (inclusi gli operatori) sono qui: link
Avrei attivato Wireshark sul tuo pcap e usò Trova pacchetto con una stringa conosciuta e poi userei i menu di scelta rapida per fare in modo che Wireshark crei il filtro per te (come descritto nella sezione 6.2.2 del manuale. menu del riquadro "Elenco pacchetti" all'indirizzo link
Puoi quindi utilizzare quel filtro (copia e incolla) in una console con tshark per cercare rapidamente pcap di grandi dimensioni o creare script per le ricerche banalmente.
La soluzione migliore è probabilmente caricare il file PCAP in NetworkMiner . Tutti i cookie verranno automaticamente estratti da NetworkMiner e visualizzati nella scheda "Credenziali".
Questo è già stato suggerito nella mailing list degli utenti di Wireshark: link
Leggi altre domande sui tag wireshark