Logo a resposta é:
uma aplicação javascript está enviando e recebendo dados para / de 104.31.112.90:8880.
Para descobrir que usei com sucesso:
telnet 104.31.112.90 8880
Isto significa que o 8880 mais provável não é uma porta aleatória como quando 104.31.112.90 seria inicialmente conectado a mim; isso significa que de alguma forma fui eu quem iniciou a conexão com 104.31.112.90:8880. Depois de escavar ainda mais descobri que 104.31.112.90 é um servidor cloudflare; mais provável que seja um servidor que hospeda um serviço da web de algum tipo que eu estava consumindo.
Considerando que eu já tinha o navegador aberto com muitas abas, então provavelmente um aplicativo javascript estava consumindo alguns serviços da Web a partir de 104.31.112.90:8880. Ignorar 53, 80, 123, 443 portas ao usar iftop não pode ajudar com a execução do javascript nas abas do navegador já abertas.