O comentário do mailq não é muito anarquista, pois é a resposta certa para a maioria dos casos.
Se os usuários estiverem usando recursos corporativos (ou escolares, etc) para realizar atividades ilegais (estejam na Internet ou não), devem ser tomadas medidas apropriadas para que eles saibam que isso é completamente inaceitável.
Ninguém deve ser anônimo em sua rede, você deve ser capaz de rastreá-lo facilmente até um computador específico (concessão de DHCP) e muito provavelmente um usuário específico.
Considerando tudo isso, The Spiderlabs Blog tem um artigo sobre Snort regras para detectar atividade LOIC. A implementação do snort pode ser sua melhor opção se você realmente não puder resolver o problema por meio da educação ou de um LART.
O comentário de Ben traz uma grande quantidade de worms. Considere:
- Isso expõe o proprietário da rede a responsabilidade se atividades ilegais forem conduzidas?
- Quão aberto as coisas realmente precisam ser? Você consegue abrir somente HTTP / HTTPS? Você pode limitar a taxa?
- Em uma rede grande (como um hospital), você pode estar melhor com um IDS / firewall de hardware comercial.