Muy cierto lo que dices. Puedes entonces hacer uso de técnicas un poco más sofisticadas como son el olfateo de redes conmutadas. Lo mejor es usar algún programa que utilice dichas técnicas como Ettercap. Este software funciona en plataformas win32 y Lnux.

La primera tarea que realiza ettercap es un ARP Discovery, que es un metodo para encontrar que máquinas se encuentran en tu segmento de red. con la opción --netmask xxx.xxx.xxx.xxx , puedes desgnar una máscara de red. Por ejemplo:
aunque puede tardar un buen rato en averiguar que máquinas se encuentran en dicha "máscara".

Merdianta la técnica de ARP Poisoning, se puede olfatear un ambiente switcheado como el que tu comentas, para lo cual tendrás que presionar la tecla a cuando ettercap termine xcon el test ARP y aparezca la pantalla principal del programa.

De cualquier forma, también puedes seguir usando Windump filtrando por host cliente según el tipo de petición que realice al gateway. El problema radica entonces en que serán muchas máquinas, pero bueno se puede aproximar un poco a que tipo de URLs acceden tus clientes.

Todas las máquinas que esté un una misma subred pueden auditarse con windump. sólo tendrás que filtrar por host destino, es decir, el host que hace de gateway:
En fin, como todo, es cuestión de practicar un poco.

Si te urge mucho el auditar el tráfico entoncestendrá que ir pensando en eliminar el gateway de acceso al router e implantar un sistema proxy que es mucho mejro para el control de los accesos de la red al exterior.