Et quel est l'intérêt, faire du Denial of Service (DOS) ?

Le code 408 est émis normalement par Apache quand une connexion est ouverte sans émission de requête HTTP dans un délai normal (ici, les connexions ne contiennent aucune donnée TCP).

Qu'est-ce qui permet de parler d'attaque avec cette capture ? J'ai l'impression de voir du trafic qui provient soit d'un client défaillant, soit d'une capture incomplète. Est-ce que cette activité d'un seul client a occasionné des downtimes ou ralentissements ?

Pour moi envoyer 1200 à 1300 requêtes par minutes cela peut être considéré comme une attaque, non ?

Non vu qu'il n'y a pas de requêtes (requête est de la terminologie HTTP), pas de trafic de données ou même de trafic couche transport valide.

Une attaque c'est quelque chose qui a pour but de nuire, là c'est 200 % plus de la maladresse que de la malveillance à première vue.

Si ça se trouve c'est quelqu'un qui a fait un tcpreplay d'une capture filtrée à l'arrache vers ton hôte (il y a des handshakes SYN->SYN/ACK->ACK complets, mais est-ce que les ACK répondent vraiment aux SYN/ACK et ne sont pas rejoués ?)

On pourrait aussi penser à une mauvaise règle iptables qui duplique incorrectement du trafic. Enfin vu que tu héberges un serveur de test de débit je pense que n'importe qui peut avoir l'idée de faire n'importe quoi avec (ça n'arrive pas fréquemment et c'est normal aussi)