パケットキャプチャはWiresharkでしかやったことなかったけれども、
Linuxのtcpdumpと言うコマンドで取得してみた。

tcpdump -s0 -i eth0 -X port 80 -w tcpdump.cap

上記は、ポート80のやり取りを tcpdump.cap というファイルに書き出す、
という意味のコマンド。 -i は、eth0 のNICを意味する。つまり、eth0 の
ホスト名が server だったとすると、

http://server/

というアクセスがあった場合のやり取りを記録できることになる。
（ポート80でhttpをリスンしているという前提）