有关截获包的保存与传输 100分,不够再加　　：）

我想请教在截获网络数据包方面，有经验的朋友：

我已经将数据包截获，但我需要将包进行解析，这当然涉及到多个包的组合分析。因为我的最终目的是将有用的数据传输走。所以我觉得需要一个“中转站”，即建立1000到2000个包的缓冲区，并用另一个进程进行解析并组合成字串，如eml文件组合成一个字串，存放起来，还有一个进程负责和另一个主机进行适时通讯，并传输这些数据串。
现在有几个问题：
1、如何存这些字串，比如分POP3，html各种格式序列还是分IP序列存？如何让进程知道该将解析的串放在哪个序列里？
2、存放这些字串的最佳办法是什么？是文件？如果是文件，存取的时间会不会影响我的处理速度？是缓冲区？可如果存一个带附件的邮件占5，6M，会不会占用内存太多？　或者通过多进程边处理放入缓冲，边发送？　我现在想法很多，可想通过有经验的朋友找到一个最佳模式，避免无效工作。

谢谢朋友们，也希望和从事网络安全方面的朋友多联系！