Извлечение файлов из сетевых пакетов

Если коротко: то в общем случае никак. Можешь пытается парсить известные протоколы, как антивири делают. И то если они не крипнованные.

для каждого протокола своим способом

tcpflow вытащит отдельные tcp сессии, а дальше ужо ручками :-) никто-ж незнает в каком виде у вас файлы передаются

Хорошо, что проще всего сейчас написать. как proof-of-concept?

Допустим я взял почтовый протокол или файловый, как дальше, структура есть, просто искать начала файла и дальше заливать в него приходящие данные?

Нужно написать ограниченную DLP, только как PoC

ну ловишь начало соединения, потом парсишь протокол в обе стороны. Получаешь свои файлы. только изменить так просто может не получиться. Контрольные суммы, PGP, вот это все.

Вот пример того, как wireshark достаёт данные из пакета FTP

https://code.wireshark.org/review/gitweb?p=wireshark.git;a=blob;f=epan/dissec...

Аналогично этому в той же директории содержится код для диссекции огромного количества протоколов

Если чисто PoC, можете попробовать написать соответствующий скипт на Lua для wireshark, запускать его в batch mode.

Всем спасибо, буду смотреть и пробовать.

google://<protocol name> tshark dissector

Если ручками охота, то можно тоже самое запилить на scapy, но уже ручками, но идею, можно своровать из wireshark скрипта.