Esta porta é usada para STUN (Simple Traversal of UDP para NAT), que é usado pelo VoIP em alguns casos. Ele também é usado pelo aplicativo Apple FaceTime. Também pode ser usado por malware.
Você pode ter software não autorizado ou incorreto nas estações de trabalho em questão.
Também é possível que seu firewall esteja bloqueando o tráfego legítimo de um dos serviços acima, fazendo com que eles repitam com mais frequência que o normal.
Eu esperaria que o FaceTime transmitisse tráfego, mas isso exigiria uma conexão contínua. Eu esperaria que o roteador reconhecesse isso, mas o UDP é sem conexão, então talvez não. O FaceTime pode se recuperar mudando para uma porta alternativa, portanto, pode não ser óbvio para os usuários que a porta está sendo bloqueada.
EDIT: Eu fiz uma pesquisa no endereço IP em questão. Faça uma pesquisa whois no endereço IP e entre em contato com o endereço ip-admin ou abuso. Explique o que você está vendo e veja se eles estão dispostos a fornecer qualquer informação. É improvável que eles desejem hospedar um servidor de comando e controle, mas podem não estar dispostos a compartilhar informações.
Dado este endereço específico, não espero que esteja executando um servidor STUN. Isso me levaria a pensar em malware. Investigue pelo menos um dos dispositivos ofensivos para ver qual programa está gerando o tráfego. ( netstat mostrará o programa no Unix / Linux, e o firewall do Windows pode ter uma regra permitindo o tráfego). Se for um programa legítimo, suspeito de configuração incorreta. Caso contrário, você provavelmente precisará limpar uma infecção por malware. Se estiver se espalhando, desconecte todos os dispositivos que geram as solicitações SYN.
Como você está executando o SEP, suspeito que esses sistemas estejam executando o Windows. Pode ser capaz de identificar o programa que envia o tráfego.
Uma solicitação wget https indica que o servidor está sendo usado pelo swarmcdn.com Alguém instalou o software de vídeo Swarmify?