tcpdumpを使用した人間が読める形式のhttpヘッダー

これは、tcpdumpを使用してリクエストとレスポンスのHTTPヘッダーを表示するために思いついた1行です（これはあなたのケースでも機能するはずです）。

Sudo tcpdump -A -s 10240 'tcp port 4080 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' | egrep --line-buffered "^........(GET |HTTP\/|POST |HEAD )|^[A-Za-z0-9-]+: " | sed -r 's/^........(GET |HTTP\/|POST |HEAD )/\n\1/g'

これはパケットを10Kbで制限し、GET、POSTおよびHEADコマンドのみを認識しますが、ほとんどの場合それで十分です。

[〜＃〜] edit [〜＃〜]：各ステップでバッファを削除して応答性を高めるように変更しました。ただし、今はPerlとstdbufが必要なので、ない場合は元のバージョンを使用します：[〜＃〜] edit [〜＃〜]：スクリプトポートターゲットを80から4080に変更し、外部トラフィックがポート80に到着するのではなく、Apacheを通過したトラフィックを実際にリッスンするようにしました。

Sudo stdbuf -oL -eL /usr/sbin/tcpdump -A -s 10240 "tcp port 4080 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)" | egrep -a --line-buffered ".+(GET |HTTP\/|POST )|^[A-Za-z0-9-]+: " | Perl -nle 'BEGIN{$|=1} { s/.*?(GET |HTTP\/[0-9.]* |POST )/\n$1/g; print }'

いくつかの説明：

• sudo stdbuf -oL -eLは、tcpdumpを行バッファーで実行します
• tcpdumpマジックフィルターについては、ここで詳しく説明します。 https://stackoverflow.com/questions/11757477/understanding-tcpdump-filter-bit-masking
• grepは、GET、HTTP /、またはPOSTを含む行を探しています。またはヘッダーのように見える行（文字と数字の後にコロンが続く）
• BEGIN {$ | = 1}は、Perlにラインバッファを実行させます
• s /.*？（GET | HTTP/[0-9。] * | POST）/\n $ 1/gは、すべての新しい要求または応答の先頭の前に改行を追加します