Я играю с библиотекой pcap в C. Я могу фильтровать трафик http, используя выражение фильтра "порт 80" в вызове pcap_compile, но теперь мне интересно, могу ли я специально фильтровать запросы POST.
Кто-нибудь знает выражение фильтра для фильтрации запросов HTTP POST?
Следующие элементы должны соответствовать только POST:
port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354
Однако HTTP-запрос может быть разделен на различные TCP-пакеты, и, следовательно, вы можете не получить полный запрос.