Программа отслеживания, которая периодически открывает порты

На управляемом мной сервере Debian у меня есть брандмауэр из белого списка iptables. По какой-то причине кажется, что один процесс отправляет кучу неавторизованных пакетов, но я не могу определить, какой из них.

[1624382.821400] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=198.60.22.240 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=49824 DF PROTO=UDP SPT=59084 DPT=123 LEN=56 
[1624382.821625] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=209.208.79.69 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=2620 DF PROTO=UDP SPT=60835 DPT=123 LEN=56 
[1624382.821836] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=35.238.255.157 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=22984 DF PROTO=UDP SPT=39290 DPT=123 LEN=56 
[1624382.822042] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=129.250.35.251 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=39284 DF PROTO=UDP SPT=53528 DPT=123 LEN=56 
[1624413.404586] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=34.225.6.20 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=59854 DF PROTO=UDP SPT=51331 DPT=123 LEN=56

Я посмотрел это и похоже, что что-то пытается использовать NTP, что странно, поскольку я не помню, чтобы что-то настраивало для этого. Я предполагаю, что в Debian что-то должно быть установлено по умолчанию, но я не могу найти по нему никакой документации.

Он всегда отправляет 5 пакетов UDP каждые 20-30 минут. Всегда на разные IP-адреса. Я хочу выяснить, какая программа отправляет эти пакеты, чтобы я мог доверять ей или удалить ее. Я попытался взломать сценарий, но он, похоже, ничего не захватил:

sudo tcpdump | grep ntp > 123.log &

Кто-нибудь знает, что я могу сделать, чтобы выяснить, что отправляет эти пакеты?