Ваша проблема заключается в использовании протокола ICMP, который на самом деле используется только для проверки связи и проверки типа.
Чтобы проверить, какие веб-сайты посещаются, вам нужно включить TCP (особенно на порту 80), а затем проверить каждый пакет на наличие заголовка «host:», который сообщит вам адрес.
Другое частичное решение (которое может помочь с HTTPS-сайтами, но также внедрить другие несвязанные сайты) состоит в том, чтобы отслеживать порт 53 (UDP + TCP, в основном UDP), чтобы получать запросы DNS, которые сообщают вам, какие хосты запрашиваются.