Parece-me que seu servidor está sendo usado em um ataque de amplificação de DNS.
Não conheço o modelo de preços do Amazon EC2, mas ficaria surpreso se esse tráfego não contasse.
Funciona assim:
Alguém está enviando uma consulta DNS para seu servidor com o IP falsificado 108.162.233.15.
Seu servidor responde essa consulta à vítima real - 108.162.233.15.
A consulta é bem pequena, mas a resposta é bem grande (confira dig -t ANY isc.org
).
A verdadeira questão é, por que seu servidor responde a essas perguntas?
Você está executando intencionalmente um DNS recursivo público para todos usarem?
Se não, você precisa desativar a recursão ou limitá-la a clientes confiáveis / conhecidos ( recursion no;
e allow-query-cache {none;};
).