Una soluzione potrebbe essere quella di utilizzare un'utilità come ngrep (http://ngrep.sourceforge.net/usage.html) e passa il file .pcap con un'espressione regolare.
EX: ngrep -q -I file.pcap|grep -i user
Un esempio di questo può essere trovato sul web QUI
Snippet da trustwave.com
5) Search for text strings using ngrep
This is useful to look for any specific string or regex you want e.g
look for "password", "card","username" etc....This will normally find
FTP, HTTP, or POP passwords as examples. Although this is a simple
example, ngrep can be used for complex regex's.
ngrep -q -I file.pcap|grep -i user
e.g
..........< TRUNCATED>..........
en" id="secure_username" name="username" value="" />......
..........< TRUNCATED>..........
6) Find emails using ngrep ...
Che espressione regolare da usare:
Vorrei incoraggiare ad imparare come creare espressioni regolari se non lo hai già visto che sono molto utili.
(Non testato): ~JOIN
EDIT: Se si deve usare wireshark e non ngrep, credo che wireshark usi espressioni regolari in stile perl