Eu sempre tenho um site "pega-tudo" com estas ligações:
http *:80:
https *:443:
todos os outros sites têm ligações para cabeçalhos de host ou endereços IP específicos.
Todas as solicitações registradas para este site pega-tudo são do tipo em que você está interessado. Não deve haver tráfego legítimo para este site. É sempre interessante ver os registros http deste site.