Sto usando Tshark per annusare i miei pacchetti e mi occupo solo dell'intestazione http (preferibilmente nella forma in cui è stata inviata, ma prenderò quello che posso ottenere).
Ho provato a usare:
tshark tcp port 80 or tcp port 443 -V -R "http"
Il che mi ha dato l'intestazione, ma anche il contenuto (che non voglio che sia una grande quantità di immondizia da analizzare). Mi interessa davvero solo l'intestazione, c'è un modo semplice per ottenerlo (oltre all'analisi dei dati da solo).
Modifica: dovrei qualificarmi, mi preoccupo anche dell'host / della porta in modo da poter tenere traccia delle richieste su più pacchetti.