Seu problema é o uso do protocolo ICMP - que é realmente usado apenas para coisas do tipo ping e verificação de conectividade.
Para verificar quais sites são visitados, é necessário ativar o TCP (principalmente na porta 80) e, em seguida, inspecionar cada pacote para o cabeçalho "host:" que informará o endereço.
Outra solução parcial (que pode ajudar com sites HTTPS, mas também injetar outros sites não relacionados) seria monitorar a porta 53 (UDP + TCP, principalmente UDP) para obter as solicitações DNS que informarão quais hosts estão sendo solicitados. .