Hi y005017,

試試看用 "Sniffer" 抓看看是哪台電腦在作怪吧~ 我也是用此軟體找出"元兇"的
1)http://toget.pchome.com.tw/intro/network_tool/network_tool_monitor/18959.html
或
2)http://www.xkxz.com/download2.asp?id=2552&no=1

你要不要說一下這條專線接進去之後的topology接法 ? 資訊太少無法debug .. :)

間隔30分鐘就來個高點 @_@!! 那麼厲害~!? 可以受小弟一拜嗎~? 有沒有打算開班授課~?

我沒有暗示甚麼唷 XD

=以下才是正經話=

1. 看駐廠人員電腦是否有加入網域，可遠端到他們電腦查看那段網路異常時間的Login User是誰
2. 網路異常不知道你是從哪看來的~? MRTG ? 如果可以看到網路流量異常 因該可以看得出來異 常的流量是跑甚麼協定~? 或是去看 DA IP 知道跑甚麼協定或是DA IP應該可以收集到不少資訊

畢竟你提供的資訊有點少 所以也不太知道從哪幫你呢 :>

建議掛 sniffer來分析網路封包的來源與目的位址 +1
不過不建議使用非法軟體，網路封包分析的免費軟體很多
手屈一指的是 Ethereal(新版名稱 Wireshark)，用的人多，中文化、教學說明也多

如果有固定的時間點、固定的行為模式，
大多是程式造成的(這邊指的程式包含User自行開發的程式、定期備份軟體、資料同步軟體、惡意程式...等）
人為操作造成的網路流量通常不固定

好奇問一下，樓主公司的防火牆是哪一家的？有無報表功能？
公司有裝L7的監控設備嗎？
如果有，那就好辦了，從防火牆報表去看哪一個內部IP在特定時段流量異常。
如果沒有，那就如同樓上大大說的，裝套sniffer去抓封包。
若您的廠區各網路點都有明確的位置，且交換器也是有網管的，那就更好了。
利用mrtg偵測各台交換器流量，每個port都製作流量表，哪個port對應到哪個辦公室哪個位置一目了然。
誰作怪，就知道，馬上拔線，讓使用者來報修。

通常是有不知的固定task在執行, 可用netflow查看看是哪些機器再決定下一步, 不建議直接拔線, 除非已經嚴重影響正常運作. 另外, 請問你是哪家公司? 何不直接找台積電網路人員一起看看, 搞不好是他們的task!

推樓上 cklin 網友提到的 自由軟體 Wireshark ，不過我會把這個工具放在第三步驟。

第一步驟：找出一個所有封包會經過的節點
既然要監控流量，就要找一個點，是相關流量都會經過的。不然現在都是 switch 的環境，雖然 Wireshark 跨平台，很多作業系統都可以裝，妳高高興興的裝好，打開看到一堆封包，正在 嗨 的時候，才發現那些封包都是本機跟別人的流量，別台機器的流量都被 switch 區隔開啦！（看到少量別台機器的封包也先別急著高興，應該都是 broadcast 之類的）

所以如果環境有 switch ，就需要開一個 mirror port，把裝好 Wireshark 的電腦插上那個 port 。

不然，如果環境可以串一個 dumb hub 也行，這樣所有的流量都會經過這個 hub ，把那台裝好 Wireshark 的機器也插上去，就可以監控所有的封包囉。

第二步驟：安裝、使用 ntop ，找出流量異常的ip
Wireshark 這個好物可以看到流經的每一個封包的每一個bit，但是妳要先抓流量的大方向對吧？所以建議用 ntop 這個流量監控工具，各種主流的 Linux 發行版本應該都有，在套件庫裡面搜尋一下，勾選、安裝。
ntop 這個自由軟體，官方沒有提供編譯好的 MS Windows 版本，自己編譯我也不會，建議去下載 NTop_XTRA 這個別人編譯好的版本 NTop_XTRA_3_18_0.exe，雖然有點舊，但是能跑就好。

第三步驟：安裝、使用 Wireshark ，針對流量異常的ip去看實際封包內容
Wireshark 裝好、跑起來之後，在 filter 那邊輸入 ip.addr == 192.168.9.78 （請替換成流量異常的 ip），就可以實際看到那台作怪的機器到底在傳什麼東西囉。