Problemas en analisis de trafico local

[Vida Luz]

Hola a todos, tengo dos consultas

Tengo un tarro FEdora 4 que es gateway de la red y tiene el squid mas reglas 
iptables para el filtrado, sin embargo hay lentitud muchas veces en el server, 
por lo tanto corrimos el ethereal para analizar trafico, en el trafico vemos 
demasiadas lineas como esta:

1303   8.036287  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment lost] 
1040 > 1526 [PSH, ACK] Seq=18473 Ack=15618 Win=63344 Len=25
1316   8.132382  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment lost] 
1040 > 1526 [PSH, ACK] Seq=18515 Ack=15685 Win=63277 Len=48
1330   8.228185  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment lost] 
1040 > 1526 [PSH, ACK] Seq=18973 Ack=15992 Win=62970 Len=17
1339   8.324131  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment lost] 
1040 > 1526 [PSH, ACK] Seq=19120 Ack=16096 Win=62866 Len=17
1347   8.420137  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment lost] 
1040 > 1526 [PSH, ACK] Seq=19401 Ack=16289 Win=64141 Len=17
1361   8.516027  193.11.61.7 -> 132.147.160.6 TCP [TCP Previous segment lost] 
1040 > 1526 [PSH, ACK] Seq=19435 Ack=16311 Win=64119 Len=17

El problema es que la 193.11.61.7 y la 132.147.160.6  son ajenas a mi red, en 4 
dias que tengo de probar aleatoriamente el ethereal siempre veo este trafico de 
la red 193.11.61 hacia la IP 132.147.160.6 este destinos iempre es fijo pero el 
193.11.61 va de la 193.11.61.5 hasta la 193.11.61.15, no veo de donde sale esta 
IP o si es alguna de las workstation que esta haciendo spoof.

Mi otra consulta es: como detectar que hay worm o virus en aluna estacion de 
trabajo? tengo 180 estaciones de trabajo y es dificil ver quien tiene gusano, 
con el ethereal como me puedo guiar, yo entro remotamente a este server con ssh 
y el ethereal lo corro asi:

tethereal -i eth1 -w /tmp/filt -R "not tcp.port ==22"  (excluyo el puerto 22)
tethereal -r /tmp/filt > /tmp/filt1

Les agradeceria sus sugerencias

Saludos,