Tshark es un capturador de tráfico de red, además de tener cualidades que ayudan a su análisis.  

Una de las opciones que tiene Tshark, es que al momento de capturar, lo dividir los resultados  por duración, cantidad de paquetes, distintos filtros, etc.

Una de las cosas que no puede hacer TShark sin embargo, es editar los dump ya capturados para dividirlos por tiempo, o por cantidad de paquetes, para ello usamos la aplicación llamada editcap.

 Un ejemplo que es el que utilizo yo, es dividir un dump en fragmentos de 5 minutos, con lo cual usando editcap simplemente hago:

 editcap –i 300 in.dump out_dump

 Lo que me genera tantos out_dump como intervalos de 5 minutos haya en in.dump.

Esto es muy útil cuando se trabaja con archivos muy grandes :D.