Tan sólo resaltar que si los equipos estan conectados a switches, "a priori", no se puede analizar el trafico del resto de equipos desde uno (un equipo) de ellos, es decir, con un hub, todo el trafico de una boca es "visible" por las demás, el switch tiene una capa "inteligente" que sabe por donde mandar cada cosa según las direcciones físicas de cada dispositivo.
Existen técnicas avanzadas para esto, pero viendo tu pregunta, no creo que quieras meterte en estos fregados. Según yo lo veo tienes 2 soluciones (fáciles), o al menos propuestas de solución para encontrar el problema:
1.- El switch que usais es medio "decente" y cuenta con una gestion / administración inteligente (vamos, como un router, que puedes entrar por un interface web y ver / tocar cosillas) (en muchos switches a veces la "consola" de la que hablo esta accesible vía serie). Si este es el caso, quizás el propio switch disponga de alguna herramienta en la consola para analizar el tráfico.
2.- Comprobar si vuestro router dispone de una herramienta que os permita ver las conexiones activas en ese momento. En funcion del firmware que use, esto sera viable o no.
Si nada de esto te vale te propongo otras opciones mas complicadas / guarras:
1.- La fácil, si es viable y la conexión se cae cada poco, ir desconectando del switch uno a uno los equipos y ver si la conexión sigue cayéndose o no. Es un poco guarra, pero muy fácil y efectiva en caso de que la conexión se caiga continuamente. También podrías comprobar las lucecitas del tráfico en el propio switch, pero esto es más engañoso, el tráfico que veas no tiene porque ser de un virus (los leds parpadean con cualquier clase de tráfico), pero bueno, si un ordenador está teoricamente inactivo y ves que parpadea mucho, podrías empezar a sospechar de que algo huele mal en ese equipo.
2.- La efectiva, instala entre el router y el switch un segundo router por el que tengan que pasar todos los equipos y en el que puedas analizar el tráfico. Esta puede ser reemplazada por un propio análisis en el router que tengas si es de calidad y dispone de las herramientas para ello.
En cualquier, caso, al margen de virus y troyanos, yo no descartaría al típico usuario que deja el emule/bittorrent/etc encendido y satura la conexión (un clásico en las oficinas). De nuevo, si el router es avanzado, yo haría lo siguiente:
Deniega todo el tráfico "desconocido" en el router, esto es:
Si estás en una oficina y los usuarios sólo pueden acceder al correo y web, pues todo lo que no sea 80 (www), 25 (smtp), 110 (pop3) (ojo, el correo vía ssl lleva otros puertos). Si con esto ves que la conexión deja de caerse, es que hay algun software indeseable (p2p, virus, troyano) enviando información a través de algún otro puerto.
De todas maneras, como apunte final, hay algunos routers, que en algunas circunstancias al tratar un número alto de peticiones (aunque sean a puertos standard, como el 80) llega un momento que pueden llegar a colgarse osea que incluso aún con lo del párrafo anterior tampoco tendrias la certeza necesaria. Llegado este punto lo que tendrías que hacer es un análisis más a fondo sobre un posible flood de conexiones.
