Isso não é possível. Por quê ? O protocolo de comunicação http / https é a chave aqui. O tcpdump é "apenas" designado para capturar o protocolo de nível inferior. Não há filtro no tcpdump para analisar o tráfego durante o voo e fazer uma expansão no filtro. Mas isso seria necessário para atender às suas necessidades.
Você pode usar um cache de proxy da Web ou outro software "no meio". Também é fácil impedir o uso de scripts Perl ou Python se o HTTP for o destino. Um pouco mais de trabalho e, em especial, com certificados em caso de HTTPS.
+-------------+ +------------+ +------------+ | web-Browser |-----| HTTP/HTTPS |-----| HTTP/HTTPS | +-------------+ | Proxy | | Server | +------------+ +------------+
Você pode usar o iptables no Linux para redirecionar todo o tráfego para a porta de destino 80/443 para o proxy da Web / programa "man in the middle" / script ou usar o parâmetro de proxy em seu navegador da Web.