Uma possibilidade provável é um ataque de amplificação. Se você estiver executando um resolvedor de DNS recursivo aberto (há outros protocolos com os quais você pode fazer isso), por exemplo, você pode receber um pacote UDP muito pequeno que tenha um endereço IP falsificado. Seu servidor gera uma resposta grande e a envia para a vítima, pensando que é uma solicitação legítima.
Outra possibilidade é que alguém esteja exfiltrando dados da sua rede. Se alguém entrasse em seu servidor e descarregasse todos os bytes que pudessem encontrar, ele também seria assim.
Não há como saber qual foi sem fazer uma investigação e esperar que o que aconteceu tenha deixado evidências. Se é o último (exfiltração), então eles provavelmente limparam seus rastros o melhor que puderam.