Eine kleine aber feine Idee als Abfallprodukt der Intrusion Detection. Man sammle sämtlichen Netzwerkverkehr der an ungültige (interne) IP-Adressen gerichtet ist und werte diesen aus. So bei Switch regelmässig gemacht.
Der Traffic stammt nicht (oder nur sehr selten) von normalem Netzwerkverkehr (weil das Ziel ja fehlen würde) und ist somit ein Resultat von Scanning, Probing oder gar Denial of Service-Angriffen etc.
Und was soll das Ganze? Neben Informationen über spannende Ports und netten Graphiken und taugliches Vorwarnsystem für junge Angriffe so wie im Paper [pdf, 230kb] Monitoring and Early Warning for Internet Worms beschrieben.