Detectar posible malware en la red

Buenas amigos, soy administrador de red Junior. En la compañía tenemos una IP Publica que esta siendo bloqueada por un Hosting en particular. Según me detalló el servicio técnico de dicho hosting :


"Se ha detectado un escaneo de puertos realizado desde esa IP xxx.xxx.xxx.xxx en nuestro servidor: xxx.xxx.xxx.xxx (Ar/Argentina/-) 101 hits in the last 186 seconds. Por eso se ha bloqueado la IP en forma temporal. Si se repite el bloqueo será permanente."


Ya que tenemos unos 100 host en la compañía, me es difícil detectar cual es la posible causa. Supongo que debe ser algún malware o virus.

Alguna ayuda para poder detectar el problema? GRACIAS!

pon un sniffer apuntando al gateway y ve que equipo esta haciendo peticiones reiteradas de puertos. wireshark es mas rápido y simple.

saludos.

hola notic
ahorita que comentas eso del wireshark.
Hay forma de ver el trafico en toda la red tan solo siendo una terminal( una laptop, un desktop, etc). Yo tenia entendido que para capturar todo el trafico en la red de todas las computadoras conectadas era necesario un proxy, porque por alli pasaría toda la información antes de llegar a su destino que seria a otra red(internet).
Un saludo!

si, verías todo el trafico colocando un proxy, no deberías tener ningún problema es una opción, otra opción puede ser si tienes un sw cisco colocar la interfaz que esta conectada a tu pc en modo mirror y recibir este trafico con un analizador de red por ejemplo ntop.

yo creo que las dos opciones son igualmente buenas.

saludos.