> Для перехвата и анализа всего трафика ресурсов надо многоС учётом стоимости этих железок - туда вполне можно отдельный L7-анализатор вбахать, с отдельным процом. Нутра, увы, не видел никогда (и вряд ли увижу), но скорее всего оно там есть.
> трафика с конкретного АйПи не надо, но вот идет с этого
> адреса на отдачу 20 Гигов трафика, как это прошерстить и найти
> искомое?
Я выше уже писал - для разрушения анонимности достаточно выцепать из пакетиков IP, порты, возможно URL из того, что имеет HTTP/1.x в начале, и писать точное время обращения. Даже глубоко лезть не надо.