El IPscan no te vale de nada si el equipo "intruso" tiene capado el protocolo icmp ( es decir no responde a los ping ).
Y por lo que cuentas alguien en tu red está intentado snifar los paquetes y usa la técnica de arp-poisson ( envenenamiento de arp). Esta técnica se usa en medios conmutados (switches ) y existen técnicas para detectar el origen de el ataque ( busca en google detectar snifers, detectar tarjetas en modo promiscuo ,....)
suerte