Vnstat показывает 500 МБ ежедневно передачи RX на нерабочий сервер

Я запускаю Centos7 на VPS с apache и 1KB php-приложением , которое я использую для тестов , в журналах нет никаких записей, кроме моей собственной и пары ботов.

У меня есть vnstat для отслеживания трафика, и раньше это было 20 МБ ежедневно RX , я всегда на ssh.

После того, как я установил LetsEncrypt ssl с помощью certbot, он перескочил почти до 500 МБ трафика RX в день. TX составляет 90 МБ.

Я установил nethogs для отслеживания трафика на eth0 по приложениям, но более высокая скорость rx исходит от ssh, и это всего пара МБ / с в нерабочее время.

Обновление: Вывод tcpdump и tshark показывает десятки запросов ARP в секунду:

Broadcast ARP 60 Who has X.X.X.X? Tell X.X.X.X

Update2: Подробный формат пакетов ARP:

TIME `MyMAC` (oui Unknown) > `UnknownMAC` (oui Unknown), ethertype IPv4 (0x800), length 87: vps.xxxcloud.com > resolver.dns.xxxx.com PTR someIP.in-addr.arpa (45)

Update3: Я игнорирую пакеты ARP на основе и . По оценкам vnstat, передача RX за месяц составляет 10,21 ГБ в тестовой среде, но для меня это все еще загадка.