При организации «домашней сети» с использованием скоростного канала доступа в Интернет,  с последующей раздачей трафика через прокси-сервер я столкнулся со следующей ситуацией (к примеру):

Суммарный (Входящий) трафик на входе прокси-сервера (Port 16777219 (3Com EtherLink PCI) on Интернет) -
Total Volume – 3 510 000  kbyte

Суммарный (Входящий) трафик на выходе прокси-сервера (Port 16777220 (3Com EtherLink Server 10/100 PCI NIC) on Интронет) за тот же период -
Total Volume – 1 000 000  kbyte

Конечно, в эту разницу входит служебная информация прокси-сервера и пакетов, но вряд ли её количественная составляющая превышает 1-2%. А здесь разница в три с половиной раза!!!

Более того, суточные графики показывают в определённые часы разницу в значениях «приходящего» и «раздаваемого» входного трафика прокси-сервера на порядок и более и длящиеся по времени до часа и более.

Могу лишь предположить, что это пакеты потокового аудио-видеи, принудительно (больше часа) запускаемые некоторыми маскирующимися IP- адресатами или другого рода потоковые атаки.
Какие способы защиты можно применить в данном случае для уменьшения паразитных потоков, не ограничивая существенно права пользователей Интронет?