Wireshark (или Tshark) является, вероятно, defacto стандартным транспортным инструментом контроля. Это незаметно и работает, не играя с перенаправлением порта и проксированием. Это очень универсально, тем не менее, поскольку не делает (AFAIK), обеспечивают любые инструменты конкретно для контроля трафика веб-сервиса - это - весь tcp/ip и http.
Вы, вероятно, уже посмотрели tcpmon, но я не знаю ни о каком другом инструменте, который делает sit-in-between вещь.
Я считаю, что рукопожатие происходит при соединении (т. Е. Как часть согласования SSL). Если вы используете HTTP-соединения keep-alive, то квитирование происходит только один раз, пока соединение активно.
Я не знаю подробностей, но уверен, что рукопожатие должно произойти только при запуске сеанса. В противном случае это было бы слишком дорого.
Edit: Вот хорошее описание процесса .