El tráfico HTTP / 1.x consiste en una sola solicitud seguida de una sola respuesta dentro de una conexión TCP o TLS. Puede haber múltiples solicitudes y respuestas coincidentes dentro de la misma conexión, pero normalmente una nueva solicitud solo se envía una vez que la respuesta se recibe por completo. Con esto en mente, puede hacer un análisis de flujo, es decir, mirar los registros de tipo application_data y analizar en qué dirección se envían (es decir, solicitud o respuesta) y cuántos bytes transportan. De este modo, puede distinguir fácilmente las solicitudes y respuestas incluso si el tráfico está cifrado. También obtendrá el tamaño de las solicitudes y la respuesta, aunque no es el número exacto de bytes sino un valor cercano.
Si bien esto describe el tráfico HTTP / 1.x típico, puede haber un comportamiento menos común. Algunos clientes utilizan la canalización HTTP donde ya se envía la solicitud antes de que se reciba la respuesta anterior. Debido a este mensaje, los límites (es decir, el final de la solicitud y la respuesta) son más difíciles o imposibles de detectar. Esto también es cierto con el tráfico HTTP / 2 en el que se intercalan múltiples solicitudes y respuestas dentro de la misma conexión TLS. Y luego están los Websockets que proporcionan un intercambio de datos bidireccional después de la solicitud inicial y el par de respuesta. Dependiendo del tipo de intercambio de datos, esto puede parecer similar a la solicitud y respuesta o ser completamente diferente.