Заметил об аномальной активности(тысячи сессий в секунду) от одного узла(компы там за натом, их менее 50) .
Так вот все они ходят на разные ипы(не более 9 флоу на ип) на порту 500 и по UDP + среднее количество байтов в пакете 472 и скорость бит тоже очень малое.
Предполагаю что :
1) Эти компы заражены и производят DDOS?
2) Это торренты?( у нас проходят только encrypted )