Есть ли какие-либо паттерны, которые вы можете видеть в этом трафике, кроме множества повторных запросов?
Например, запросы поступают с одного и того же диапазона IP-адресов? Возможно, поисковые системы или другие пауки, или, может быть, из стран, из которых вы обычно не получаете пользователей, возможно, указав какой-то странный ботнет или, по крайней мере, что-то, что вы можете заблокировать?
Всегда ли эти мошеннические запросы согласовывают использование определенного набора шифров, что может указывать на клиентское программное обеспечение?
Есть ли какая-то разница, если вы измените доступные наборы шифров, доступные для переговоров?
Какое серверное программное обеспечение вы используете, и есть ли в вашей сети брандмауэры, которые потенциально могут сбрасывать некоторые ответы пользователю?