Ci sono molte ragioni per cui potresti avere alti volumi di traffico durante la notte. Oltre al malware o alla condivisione di file, molte aziende si stanno spostando verso sistemi di backup basati su cloud e configurano i backup per essere di notte. La prima cosa che farei è contattare i capi dei gruppi di server e informarli del problema. Chiedete loro se hanno qualche lavoro in corso, e dite loro che sta influenzando i servizi. Se la tua rete supporta QoS, cerca di installarlo per garantire la larghezza di banda ai servizi vitali.
Se il traffico non sembra legittimo o se non ricevi alcun aiuto dai gruppi interni, hai bisogno di ulteriori informazioni. La maggior parte dei dispositivi di rete con intelligenza può fornire statistiche sulle porte e la maggior parte può essere interrogata con snmp. Parla con la tua rete di persone e vedi se hanno cactus, solarwinds o simili. Altrimenti, configura cactus o un altro snmp grapher gratuito e inizia a raccogliere informazioni. Una volta che hai qualche giorno di statistiche puoi vedere quali porte stanno usando la larghezza di banda e puoi trovare ciò che è collegato alla porta. Cerca l'indirizzo MAC del dispositivo e quindi associalo a una voce ARP, quindi esegui un DNS sull'IP dalla tabella arp.
Una volta che conosci la macchina incriminata, puoi indagare sulla causa. Trova il proprietario della scatola e dì loro che sta causando problemi, inducendoli a investigarlo. Se sei il proprietario fai le tue indagini. Cerca prima le cause legittime, ce ne sono molte. Una volta esaurito il malware, potrebbe essere necessario eseguire un intervallo della porta per vedere quale traffico viene inviato.