Pacotes perdidos estranhos vindos da porta 8888 e com o conjunto ACK ou ACK + PSH

Antecedentes

Durante um incidente em uma pequena rede privada (1 roteador / servidor FW + 1), meu servidor foi acidentalmente exposto à Internet.

Felizmente, ela foi protegida por seu próprio UFW para permitir apenas um tráfego específico de uma rede específica e descartar tudo o mais nessa interface.

Portanto, durante o incidente, registrou muito tráfego anormal que tentei categorizar. Eu tenho:

• Varredura de porta (pacotes% SYN )
• Verificação de DNS (UDP para a porta 53)
• Tentativa de falsificação de DNS (UDP da porta 53 para a porta > 40000)

Mas também tenho 1 padrão que não consegui categorizar ...

Pergunta

1. Estou certo em minha categorização?
2. Você sabe que tipo de tentativa de ataque / tráfego acionaria meu firewall para registrar o pacote com as seguintes especificações:
   • TCP apenas
   • Sinalizadores: ACK (90%) ou ACK+PSH (10%)
   • Principalmente vindo de port 8888 (70%)
   • LEN=52 WINDOW=18 (50%); LEN <100 (90%) e WINDOW<=20 (90%)
   • grande intervalo de portas de destino acima de 30000