это входящий или исходящий трафик?

Входящий конечно. Оба графика - входящий трафик. Один по показаниям кабинета, второй по локальному подсчёту

Домашний сервер... А на этот сервер можно было зайти извне? Т.е. был ли на нем сайт или какая-нибудь другая услуга, которая позволяла удаленному пользователю посещать ваш сайт или что-нибудь другое на вашем сервере? (И какая ОС там стояла. :) )

Какая разница? Это ни как не влияет на выполнение DOS атаки, так же и какая ОС на нем стоит. До Компьютера пакеты вообще не дошли, так как дропались роутером. В данном случае, даже если бы компьютер был выключен, но роутер включен (сессия поднимается на нем) этого уже было бы достаточно для совершения на меня атаки.

Дело в том, что если там стоял сайт, то DoS атака могла получится неумышленной. Хотя в вашем случае - навряд ли, так как уже скрипт нашли и все пакеты шли именно через один IP. Кстати что за скрипт там был? Если прокси, а у вас комп-вебсервер с сайтом, то теоретически могло зайти много пользователей через один и тот же IP. Но это, так чисто теоретически. Если за пару часов вам накрутили 4 Гбайта, то следовательно, мощность испытанной вами DoS атаки составляет 4Гбайт/(2часа) = 4.55 Мбит/сек. На мой взгляд, не такая уж маленькая атака - эквивалентно атаке ~35 пользователей, если верить википедии.

Что за скрипт хостер не сказал, но не прокси скрипт. Вебсервера не держу. какой смысл создавать Веб прокси на php чтобы зайти на ресурс в Узбекистане ? Когда в нете их куча.

Ага учитывая что атака на smtp порт и mysql, и какбы веб тут нипричём оказывается.

Мне вот другого не понятно если ваш роутер режектил пакеты, то это вам 4 гб режектов
насчитало за пару часов?

То что он их не пропускает, не означает что они не проходят через билинг

Вы знаете как устанавливается соединение по протоколу ТСП/ИП? Первым идёт SYN пакет, он небольшой данных в нём нет. Что-то вы темните батенька.

Вы точно уверены что разобрались с характером атаки?

Узнайте как работает билинг сначала. протокол может быть не только TCP/IP во первых, досят обычно UPD пакетами. Билинг считает IP трафик, TCP идет поверх IP