Encontrar un equipo infectado en una red utilizando Cain & Abel para ello

Entre las varias formas de encontrar un host que está bloqueando al router, tales como apagar todos los host e ir encendiendo de a uno hasta dar con el culpable, o reemplazar la puerta de enlace con un equipo configurado como router y luego analizar el trafico en este equipo, el método que utilicé por ultima vez y me dio resultado fue utilizar Cain & Abel para aplicar "Envenenamiento ARP". De este modo no es necesario estar manipulando cables de red.
Ese método engaña a los hosts de la red (llamados víctimas), haciéndoles creer que cierto equipo es la puerta de enlace, con lo que todos los paquetes son enviados a ese equipo "intruso".
El equipo intruso se encarga de solicitar al router verdadero los paquetes que le solicitan los hosts y les envia lo que el router respondería normalmente. Lo que hace básicamente es NAT, del mismo modo en que lo hace el router, con la diferencia que envenena la tabla ARP del switch para lograr que cada host vea al intruso como la puerta de enlace.
Conceptos tales como envenenamiento ARP, NAT, etc son extensos para desarrollarlos en este post por lo que sugiero revisar fuentes como:
http://es.wikipedia.org/wiki/Network_Address_Translation
http://es.wikipedia.org/wiki/ARP
http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle
http://es.wikipedia.org/wiki/ARP_Spoofing

El programa Cain & Abel puede ser descargado de http://www.oxid.it/cain.html

Para instalar el programa es muy simple, solo hay que descargar el instalador y ejecutarlo en una pc confiable de la red. Al final de la instalación, el programa sugiere instalar WinPcap, el cual es necesario para poder configurar la placa de red en modo promiscuo (escucha todo el trafico de la red, no solo el que le corresponde según su ip)

Una vez instalado lo ejecutamos:
Hacemos clic en el botón con forma de placa de red para iniciar el sniffer y luego en la pestaña Sniffer
Nos aseguramos de que la pestaña inferior "Hosts" esté en el foco y luego clicamos el signo +

En la ventana que se abre, clicamos en "All hosts in my subnet" y luego OK

Con lo que aparecen listados todos los equipos de la red.

Para implementar el envenenamiento (APR), ponemos el foco en la pestaña APR y luego clic en +. Podría ocurrir que el signo + no esté activo. Eso se resuelve haciendo clic en dentro de la tabla aún vacía de los hosts (encabezada por Status, IP address, MAC Address, etc)
No confundir APR con ARP. APR es ARP Poison Routing

En el sector izquierdo aparecen todos los host para seleccionar el host a suplantar. Generalmente ese host es la puerta de enlace. En el caso que analizamos (una red infectada con internet bloqueado) mi intención es suplantar la puerta de enlace, asi que hago clic sobre la ip 192.168.1.1

Una vez seleccionado el host a suplantar, se despliega el resto de la red en la parte derecha, en cuyo área puedo seleccionar uno o mas hosts "víctimas".

Una vez seleccionados los hosts "víctimas" hacemos clic en el botón amarillo para iniciar el envenenamiento ARP.

Ahora puede verse el tráfico de cada host (dos en este ejemplo). Es simple detectar un host infectado comparando el tráfico. Quien más tráfico tiene es el culpable. Con respecto a este punto, es importante, en lo posible, detener en los hosts de la red, todo programa que se conecte a internet, como navegadores, antivirus, clientes de correo, etc, a fin de minimizar el tráfico y detectar al culpable más rapidamente.

Finalmente, en mi caso, resultó ser que no había máquina infectada sino un DVR con un servicio bloqueado que inundaba de paquetes la red y bloqueaba la puerta de enlace.