Parece que deberías poder extraer fácilmente las cookies de tus pcaps con Wireshark o tshark usando filtros basados en las cookies HTTP.
Debería poder coincidir con http.cookie como una cadena de acuerdo con la referencia del protocolo de los filtros: enlace
Aquí hay más información general sobre la sintaxis del filtro (incluidos los operadores):
enlace
Encendería Wireshark en tu pcap y utilizaría Buscar paquete con una cadena conocida y luego utilizaría los menús de clic derecho para que Wireshark te hiciera el filtro (como se describe en la sección 6.2.2 del manual). menú del panel "Lista de paquetes" en enlace
Luego, puedes usar ese filtro (copiar y pegar) en una consola con tshark para buscar rápidamente grandes pcaps o escribir las búsquedas de forma trivial.