Утилита chaosreader (http://chaosreader.sourceforge.net) позволяет выделить
пользовательские данные из лога tcpdump.
Например, можно сохранить переданные по FTP файлы, картинки запрошенные по
HTTP, сообщения электронной почты переданные по SMTP,
ключи переданные в SSH сессии.
Дополнительно поддерживается выделение данные из дампа трафика различных туннелей, 802.11b и PPPoE.

Передав утилите chaosreader на вход накопленный дамп, на выходе получим html
файл с анализом пересылок
и ссылками на встретившиеся в сессии файлы.

Собираем лог:

   tcpdump -s0 -w output1

Анализируем лог и выделяем все встретившиеся файлы:

   chaosreader -ve output1 

Анализируем только ftp и telnet трафик:

   chaosreader -p 20,21,23 output1 

Запускаем в режиме сниффера, сбрасывающего накопленные сессии 5 раз по 2 минуты каждая:

  chaosreader -S 2,5

В комплект входит утилита replay, позволяющая вторично проиграть сценарий
перехваченного telnet, rlogin, IRC, X11 или VNC сеансов.


Другие похожие утилиты:

* pcapsipdump (http://sourceforge.net/projects/psipdump) -  выделение из потока SIP и RTP данных 
для последующего прослушивания, каждая SIP сессия сохраняется в отдельный файл.

* smbsniff (http://www.hsc.fr/ressources/outils/smbsniff) - позволяет сохранять
переданные по SMB/CIFS
протоколу файлы, присутствующие в перехваченном трафике;

* Tcpreplay(http://tcpreplay.synfin.net) - набор утилит для повторного инициирования сессий 
на основе перехваченного трафика.

* Wireshark (http://www.wireshark.org/) - универсальный сниффер и комплект вспомогательных утилит,
позволяет извлекать данные различных типов из перехваченных потоков трафика