Não há garantia de que todos os dados postados estarão no mesmo pacote da própria seqüência de caracteres do comando POST. Na verdade, se os dados postados forem mais do que cerca de 1500 bytes (provavelmente um pouco menos devido à presença de outros cabeçalhos HTTP), você está praticamente garantido que nem todos estarão no mesmo pacote. Portanto, para obter melhores resultados, você precisará de um método de filtragem que compreenda uma transação HTTP de vários pacotes, e a linguagem de filtro da libpcap (que é o que o tcpdump usa e o que o wireshark usa para filtros capture ). / p>