Раньше с PCAPами было проще — TLS вытаскивали редко и только с ключами, сейчас же хоть и сложнее, но инструментов немного побольше, хотя автоматизация всё равно часто подводит на loopback. Wireshark остаётся базой, но без ручного ковыряния и фильтров далеко не уедешь. Главное помнить — трафик всегда оставляет след, даже если куча шифровки, и это надо уметь ловить.