instalacion claroline en suse 10

[Vida Luz]

Hola a todos, tengo dos consultas

Tengo un tarro FEdora 4 que es gateway de la red y tiene el squid mas 
reglas iptables para el filtrado, sin embargo hay lentitud muchas veces en 
el server, por lo tanto corrimos el ethereal para analizar trafico, en el 
trafico vemos demasiadas lineas como esta:

1303   8.036287  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment 
lost] 1040 > 1526 [PSH, ACK] Seq=18473 Ack=15618 Win=63344 Len=25
1316   8.132382  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment 
lost] 1040 > 1526 [PSH, ACK] Seq=18515 Ack=15685 Win=63277 Len=48
1330   8.228185  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment 
lost] 1040 > 1526 [PSH, ACK] Seq=18973 Ack=15992 Win=62970 Len=17
1339   8.324131  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment 
lost] 1040 > 1526 [PSH, ACK] Seq=19120 Ack=16096 Win=62866 Len=17
1347   8.420137  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment 
lost] 1040 > 1526 [PSH, ACK] Seq=19401 Ack=16289 Win=64141 Len=17
1361   8.516027  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment 
lost] 1040 > 1526 [PSH, ACK] Seq=19435 Ack=16311 Win=64119 Len=17

El problema es que la 193.11.61.7 y la 132.147.160.6  son ajenas a mi red, 
en 4 dias que tengo de probar aleatoriamente el ethereal siempre veo este 
trafico de la red 193.11.61 hacia la IP 132.147.160.6 este destinos iempre 
es fijo pero el 193.11.61 va de la 193.11.61.5 hasta la 193.11.61.15, no 
veo de donde sale esta IP o si es alguna de las workstation que esta 
haciendo spoof.

Mi otra consulta es: como detectar que hay worm o virus en aluna estacion 
de trabajo? tengo 180 estaciones de trabajo y es dificil ver quien tiene 
gusano, con el ethereal como me puedo guiar, yo entro remotamente a este 
server con ssh y el ethereal lo corro asi:

tethereal -i eth1 -w /tmp/filt -R "not tcp.port ==22"  (excluyo el puerto 
22)
tethereal -r /tmp/filt > /tmp/filt1

Les agradeceria sus sugerencias

Saludos,