Supondo que seja um servidor da Web e as conexões estão na porta 80/443, verifique seus logs do servidor Apache / Web para ver o que é o user-agent. Você provavelmente descobrirá que é um bot de mecanismo de pesquisa. O número de bots de rastreamento (mal-intencionados, originais e limítrofes) aumentou substancialmente ao longo dos anos e pode causar o comportamento exato que você vê.
Suponho que você tenha baixado o comando do link , mas se não , contém alguns comandos interessantes.
Depois de pensar que você identificou um IP problemático, a próxima melhor etapa seria inspecionar o tráfego. Você pode fazer isso usando o tcpdump
tcpdump -i eth0 host 192.168.1.3 and port 80 -n -s 0 -vvv -w ~/tcpdump.cap
Em seguida, abra o tcpdump com o Wireshark e analise-o com facilidade