A primeira pergunta é: qual é o tráfego? Assumindo que eth0 é a interface conectada, na caixa, você pode fazer um
tcpdump -n -n -i eth0
e veja os resultados? Obviamente, você precisará fazer isso na própria caixa, ou quase tudo o que você verá é o seu próprio tráfego.
Em segundo lugar, em qual direção o tráfego está fluindo - dentro ou fora?
Para fins de comparação, vejo 600-1200 bytes / s de tráfego de rede de entrada, que são solicitações ARP de outras pessoas, pacotes de transmissão UDP (principalmente caixas de janelas morrendo de vontade de saber se há mais alguém lá), tráfego DHCP e assim por diante . Se você está transmitindo muito, pode haver motivo para alarme, mas receber vai acontecer mesmo se você não estiver fazendo nada sozinho.