С помощью pdml2flow ( pypi ) вы можете объединять / агрегировать кадры на основе любых полей, извлеченных с помощью tshark / wireshark, и печатать их в формате JSON, XML или любом другом формате. Вы также можете легко создать новый плагин , который извлекает, переставляет и сохраняет полезную нагрузку для вашего варианта использования.
Например, если вы хотите объединить все кадры с одним и тем же исходным и целевым Mac и распечатать их как JSON, вы можете сделать:
tshark -i interface -Tpdml | pdml2flow -f eth.src -f eth.dst +json
Это может помочь, если вы сможете найти набор полей, на основе которых вы хотели бы объединить / объединить.
Раскрытие информации : я являюсь автором pdml2flow .