分析のために着信HTTP要求をキャプチャするにはどうすればよいですか？

私は、ユーザー名「Admin」でさまざまなパスワードを「試行」することで、Adminパスワードを総当たり攻撃できる可能性があると考えているボットスクリプトにかなり打撃を受けるサイトを持っています。これが私のログからの抜粋です。

uname   password     IP-address
-------+--------+-------------------
'Admin' '300283' IP: 220.250.61.78
'Admin' '300284' IP: 94.255.35.226
'Admin' '300281' IP: 176.108.152.178
'Admin' '300191' IP: 109.162.54.139
'Admin' '300280' IP: 213.87.138.83
'Admin' '300193' IP: 2.242.0.165

ボットからの典型的なリクエストは、Apacheのaccess_logにこのように記録され、POSTであるため、興味深いビット（つまり、管理ユーザーでログインしようとする）はヘッダーにありません。

 109.162.54.139 - - [08/Sep/2013:17:52:44 +0200] "POST /user HTTP/1.1" 200 20571 "http://example.org/user" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.72 Safari/537.36"

ボットは1秒あたり約8回のログイン要求を行い、これをこれまで4日間行ってきました。

攻撃されたサイトは、完全に議論の余地のないNGOによって所有されています。小さな共有ホストで無料で実行します。この種の設定は、実際にはうまくスケーリングされないため、パフォーマンスが低下します。私のIP以外のすべての人からeveryリクエストに403を返信するようにApacheを設定すると、何も変更がなかったため、そのまま継続して実行されるため、これは明らかにかなり愚かなスクリプトです。 （そうすることでパフォーマンスが回復したので、Apacheでこれをブロックできれば、勝ちました。）

ログの抜粋からわかるように、これを実行しているユーザーは、膨大な数のIPアドレスを持つボットネットにコマンドを送信します。ログを調べてみると、IPアドレスを再利用することはめったにないので、この質問に対する賛成の回答で示唆されているように、IPアドレスをブロックしています。はnotオプションです。

ところで、システム上にユーザー名「Admin」のアカウントはなく、システム上に機密情報や貴重な情報もありません。だから誰がこれをしているのか、私には困惑しています。

試してみたいことの1つは、着信要求を分析することです。何らかのパターンを発見できることを願っています。そして、パターンを見つけたら、Apacheにルールを設定して、パターンに一致するリクエストをブロックします。しかし、分析のために着信要求をキャプチャする方法がわからないので、私の質問は次のとおりです。分析のために着信HTTP要求のPOST部分をキャプチャするにはどうすればよいですか。