¿Tienes alguna máquian sirviendo algún tipo de servicio a Internet? (Terminal server, web, ftp, lo_que_sea)...

Si no, y no tienes un pico de enviar correos grandes o archivos grandes a un servidor ftp externo, podría indicar que al menos uno de tus equipos ha sido pillado por una botnet, y estaría enviando spam o similar...

Dices que has puesto un sniffer... ¿Cual? ¿A que equipo estás sniffando? ¿A todos? ¿Uno por uno? ¿Que tip ode tráfico saliente predomina en el sniffer? ¿Hacia que IP/puerto?

Hay muchas incógnitas que no has contado y qeu no podemos evaluar... Pero tú si puedes. Dispones de esta información. Lo que debes hace res verificar que tipo de tráfico (comienza por el puerto de destino) es el que está generando tanto paquete de salida... Y desde que ordenador/dispositivo. Luego te será más fácil verificar si ese tráfico que se está generando es necesario y permitido o si por el contrario se trata de conexiones no deseadas.