Por cierto, además de lo ya comentado. ¿ Tienen los usuarios privilegios para instalar software ?.
Respecto a como identificar el tráfico:
Código:
Hypertext Transfer Protocol
GET /files/d54a85f0fa33a1a05635c00acb75ba6a/UPinTH.DCF.part01.rar HTTP/1.1\r\n
Host: www356.megaupload.com\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)\r\n
El usuario que lo genera:
Código:
Internet Protocol, Src: 192.168.1.5 (192.168.1.5), Dst: 95.211.95.40 (95.211.95.40)
Para
Edonkey y similares te puedes guiar, como dices, por el ancho de banda (estadísticas). Wireshark también te dirá quien lo gneera.