Настроил end-to-end шифрование для всей внутренней сети. По всем ТТХ — идеальная защита. Но, зараза, всё равно периодически фиксирую аномальные объемы исходящего трафика по нетипичным портам

Пробовал разные DPI-решения, смотрел логи на шлюзах, даже трассировку пакетов поднимал. Результат — нулевой. Это какая-то новая методика обхода или я упускаю очевидное?

Может, кто-то сталкивался с подобной хренью? Есть идеи, как такую утечку отследить и локализовать? В теории, при E2E шифровании такое невозможно, но факт остается фактом.