Ладно, побаловались с альтернативным софтом, пора и к Wireshark вернуться.
По какому-то хитрому замыслу создателей нашего всего, при каждом применении фильтра, Wireshark заново перечитывает весь файл с диска. Почему он избегает хранить это в памяти, загадка великая, но как-то с этим надо бороться.
И девелоперы, традиционно, пошли очень своим, очень загадочным путём, и предложили использовать консольную утилиту editcap, которая ставится вместе с шарком. А вместе с ней ещё идёт и mergecap, которая делает обратную операцию: клеит из множества мелких файлов один большой.
*Тут должна быть шутка про дилемму выбора трудозатрат между строительством дорог и разработкой вездехода*
Хотя так-то молодцы, тулзы действительно удобные.
https://blog.packet-foo.com/2018/07/pcap-split-and-merge/
