В последнее время в отчетах squidа появилась целая туча неизвестных айпи адресов. Вот далеко неполный список их:

2 89.218.19.34
3 89.218.19.32
6 89.218.19.25
8 89.218.19.19
9 89.218.19.33
11 89.218.19.16
12 89.218.19.48
13 89.218.19.11
14 89.218.19.18
15 89.218.19.43
16 89.218.19.35

Как видно все они из подсети 89.218.19.0/24
Учитывая настройки шлюза и прокси, однозначно то что это SSL соединение, так как они пущены в обход squid и регистрируются ulog'ом.

поиск по who.is так же не дает внятного ответа, кто это и что это, только то, что это Казахстанские адреса.

http://who.is/whois-ip/ip-address/89.218.19.16

Кто нибудь сталкивался с такими адресами? Кому они принадлежат?
Мог бы просто заблокировать их, не проблема... Но надо узнать что за сайт посещал человек.

Судя по описанию сети и выдаче хттп с этих адресов, это казахстанский кусок Akamai CDN.

поиск по who.is так же не дает внятного ответа, кто это и что это, только то, что это Казахстанские адреса. http://who.is/whois-ip/ip-address/89.218.19.16

Во whois внятно сказано, что это CDN-сеть Akamai. В частности, ее услугами пользуется Microsoft для раздачи обновлений своих продуктов, с большой долей вероятности это ваш случай.

Что такое CDN (http://ru.wikipedia.org/wiki/Content_Delivery_Network)

Благодарю за помощь. Проверю отключены ли обновления у этого пользователя.