Embora seja possível extrair esse tipo de informação de uma captura de pacote, é melhor obtê-lo de algo com uma visualização de nível superior, como um serviço de proxy.
Se você tiver um único servidor diretamente conectado à DSL, ele deverá estar executando algum tipo de firewall. Isso oferece alguma opção de auditoria? Caso contrário, considere o licenciamento do Forefront (usado para ser chamado de ISA). Eu não usei isso sozinho, mas acredito que ele oferece as opções de auditoria que você procura e é provavelmente a melhor solução completa para um ambiente de servidor único.