Eu fiz a mesma coisa com o Wireshark há algum tempo, mas se meu kernel derrubasse um pacote, eu teria uma mídia corrompida. Eu não sei se eu estava fazendo algo errado, mas eu estava rodando o tcpdump (linha de comando wireshark como programa). Ele foi executado como root e eu aumentei bastante a prioridade.
< -EDIT- > Eu acho que descobri porque eu deixei cair tantos pacotes. Se você desativar as pesquisas de DNS, elas não descartam nada.
Veja o que eu fiz:
sudo nice -n -15 /usr/sbin/tcpdump -n -i $net_if -s 0 -w - port 80 > output
Que cria um arquivo chamado output no diretório atual de todo o tráfego da web.
Eu então usei chaosreader para converter o arquivo de saída para todos os arquivos individuais que o fluxo de tráfego era:
nice chaosreader -r output
Cuidado, isso cria muitos arquivos!
Você pode pesquisar esses arquivos para os tipos de arquivo de que gosta.
< - / EDIT- >
Não é exatamente a mesma coisa, mas eu uso um proxy python antigo para o que você está falando agora.
Eu o atualizei para funcionar melhor em implementações modernas de Linux / Python, mas não sei qual é a licença, por isso não posso postar nada ainda. Entrei em contato com o desenvolvedor original para ver se ele poderia esclarecer o que isso significa.
Vou mantê-lo atualizado sobre o que ele voltar e postar o link para a página bitbucket ou github para minhas atualizações.