Wie filtert man POST-Anfragen mit pcap?

Question

Ich spiele mit der pcap-Bibliothek in C herum. Ich kann http-Verkehr mit dem Filterausdruck "Port 80" im pcap_compile-Aufruf filtern, aber jetzt frage ich mich, ob ich POST-Anfragen spezifisch filtern kann.

Kennt jemand einen Filterausdruck für das Filtern von HTTP POST-Anfragen?

Answer 1

Folgendes sollte nur POSTs entsprechen:

port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354 

jedoch eine HTTP-Anforderung wahrscheinlich in verschiedenen TCP-Pakete aufgeteilt werden, und somit können Sie nicht die vollständige Anfrage erhalten.