偶尔打开端口的跟踪程序

在我管理的 Debian 服务器上，我有一个 iptables 白名单防火墙。出于某种原因，一个进程似乎正在发送一堆未经授权的数据包，但我似乎无法识别哪一个。

[1624382.821400] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=198.60.22.240 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=49824 DF PROTO=UDP SPT=59084 DPT=123 LEN=56 
[1624382.821625] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=209.208.79.69 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=2620 DF PROTO=UDP SPT=60835 DPT=123 LEN=56 
[1624382.821836] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=35.238.255.157 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=22984 DF PROTO=UDP SPT=39290 DPT=123 LEN=56 
[1624382.822042] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=129.250.35.251 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=39284 DF PROTO=UDP SPT=53528 DPT=123 LEN=56 
[1624413.404586] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=34.225.6.20 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=59854 DF PROTO=UDP SPT=51331 DPT=123 LEN=56

我有查了一下似乎有什么东西正在尝试使用 NTP，这很奇怪，因为我不记得设置过任何东西来使用它。我猜想 Debian 一定默认安装了一些东西，但我找不到任何相关文档。

它总是每 20-30 分钟发送 5 个 UDP 数据包。总是发送到不同的 IP 地址。我想找出哪个程序在发送这些数据包，以便我可以信任或删除它。我尝试编写一个脚本，但似乎没有捕获任何东西：

sudo tcpdump | grep ntp > 123.log &

有人知道我该怎么做才能查明是什么发送了这些数据包吗？