Странные отброшенные пакеты, поступающие с порта 8888 и с установленным ACK или ACK + PSH

Задний план

Во время инцидента в небольшой частной сети (1 маршрутизатор / FW + 1 сервер) мой сервер случайно попал в Интернет.

К счастью, он был защищен собственным UFW, чтобы разрешать только один конкретный трафик из определенного сетевого диапазона и отбрасывать все остальное на этом интерфейсе.

Поэтому во время инцидента он зарегистрировал много аномального трафика, который я попытался классифицировать. Я получил :

• Сканирование портов (SYN только пакеты)
• Сканирование DNS (UDP на порт 53)
• Попытка подмены DNS (UDP с порта 53 на порт> 40000)

Но у меня также есть один паттерн, который я не могу классифицировать ...

Вопрос

1. Я прав в своей категоризации?
2. Знаете ли вы, какой трафик / попытка атаки заставит мой брандмауэр регистрировать пакет со следующими характеристиками:
   • TCP только
   • Флаги: ACK (90%) или ACK+PSH (10%)
   • В основном из port 8888 (70%)
   • LEN=52 WINDOW=18 (50%); LEN <100 (90%) и WINDOW<=20 (90%)
   • широкий диапазон портов назначения выше 30000