Что-то подобное припоминаю, но это была DDoS атака. А тут нехарактерно -- все фактически с одного адреса приходит. Как по мне, так сканирование портов идет, но утверждать ничего не буду.
Просмотрите поступающие пакеты -- там может быть полезная инфа для размышлений.
Пароль поменять -- это хорошая идея, но от скана не спасет. Это ж просто прощупывание на предмет что открыто, что закрыто, и что на каком порту сидит. Проще делать дроп пакетов с подозрительного адреса и всячески его игнорировать.
Насчет пакетов -- ну тут уж как повезет. Можно рассмотреть на предмет типа запросов (просто аски на коннект или что-то более конкретное запрашивается). Так узнаете, чего вообще хотят.
Если верить whois, то адрес 113.96.223.207 родом из Китая. Меня это наталкивает на мысль, что просто бот прощупывает на предмет где бы оставить заразу) Там же у Микрота в прошивках уязвимость нашли -- производители еще просили админов не пренебрегать обновлениями.
Злоумышленники скомпрометировали тысячи роутеров MikroTik для создания ботнета https://habr.com/post/422719/
