Port abhören (Malware Conficker)

Ansonsten einfach einen Mirror Port am Switch einrichten und den Port wo die Firewall / Router angeschlossen ist mirroren mit einem Wireshark oder Tshark oder minimal tcpdump.
Da bekommst du noch alles etwas detailierter.
Wenn du sFlow oder NetFlow fähige Switches hast würde es damit auch gehen die befallenen Geräte zu identifizieren:
Netzwerk Management Server mit Raspberry Pi
Raspberry Pi reicht dafür.

Ich habe zurzeit ein Projekt gestartet um das Netzwerk von meinem Betrieb zu scannen was man dafür brauch ist ein Portmirroring vom Switch oder die SNMP Einstellung beim Router.
Mit Wireshark ist das mit 500 PCs bisschen hart aber PRTG sollte funktionieren einfach mal die Trial ausprobieren.
Wobei bei PRTG brauch man das Mirroring gar nicht wenn du nur den Port haben willst.

Gruß,
Matze

Nein nicht ausschliesslich !
Wenn du sFlow oder NetFlow fähige Switches hast (HP, Cisco, Brocade etc.) kannst du diese Auswertung auch ganz einfach mit einem sFlow Kollektor machen.
Damit erübrigt sich dann ein Mirror Port vollständig.
Bei einer größeren Anzahl an zu überwachenden Ports ist die Flow Variante erheblich skalierbarer und besser !
PRTG ist aber auch sFlow fähig. Es gibt aber bessere und kostenlose Tools dafür.
Z.B. kann man über die kostenlosen sFlow Tools auf der Inmon Seite diese Flows als PCAP formatierte an Wireshark exportieren.
Damit sind dann auch 500 oder 5000 PC kein Problem mehr zu überwachen.
http://www.sflow.org/using_sflow/index.php
http://www.inmon.com/technology/index.php
http://www.inmon.com/products/sFlowTrend.php