Você precisa usar wireshark
Se estiver usando wireshark, você precisa filtrar em operações HTTP GET e POST ... assumindo que você tenha gerado tshark (text wireshark) da CLI:
Um exemplo muito idiota, tudo o que estou fazendo é filtrar o tráfego TCP e aplicar grep para uma operação GET ou POST ... se você quiser capturar menos (e, portanto, usar menos recursos), melhore o filtro para capturar menos que o TCP.
[mpenning@Hotcoffee Models]$ sudo tshark -i eth0 tcp | grep -E "GET|POST"
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
32.282144 172.25.116.10 -> 172.25.0.14 HTTP GET http://cisco.com/ HTTP/1.0
32.411775 172.25.116.10 -> 172.25.0.14 HTTP GET http://www.cisco.com/ HTTP/1.0
44.056340 172.25.116.10 -> 172.25.116.12 HTTP GET /render/?width=586&height=308&_salt=1336597549.993&target=pctcore_pctlab_local.snmp.if_octets.vlan.rx&target=pctcore_pctlab_local.snmp.if_octets.vlan.tx&from=-12hours HTTP/1.1
O endereço ethernet da minha máquina é 172.25.116.10. Observe que cisco.com não está em 172.25.0.14; esse é o endereço do meu proxy HTTP.
Existem muitos botões em wireshark , alguns têm a ver com quais portas são consideradas portas HTTP válidas. Se você tiver aplicativos que realizam downloads HTTP em portas TCP incomuns, talvez seja necessário ajustar o wireshark para interpretar esse tráfego como HTTP.