É comum que clientes bittorrent usem portas tão altas. Se alguém na rede estiver usando um cliente desse tipo configurado dessa maneira, as tentativas de conexão de entrada poderão ser outros clientes tentando falar com ele. Também pode ser que haja um bug explorável remotamente em um cliente comum (eu não ouvi falar de um, mas isso não significa que vários não existem), então o tráfego poderia ser um pouco tentando caçar cópias de esse cliente para tentar explorar.
No meu entender, parece estranho que tais conexões viessem em blocos da mesma fonte na mesma porta via TCP se as conexões são relacionadas a bittorrent, embora seja menos estranho para UDP (vários pacotes iniciais podem ser enviados no caso os anteriores foram perdidos devido a uma falha temporária se o firewall silenciosamente descartar pacotes em vez de enviar uma resposta de erro). Em qualquer caso, usar netcat
para ver o que aparece como sugere Xerxes dará algumas dicas, a menos que o trafegue para um protocolo devidamente criptografado (mesmo assim, pode haver pistas na tentativa de abertura do handshake).