Biztos, hogy valóban támadást látsz? Akkor szokott ilyen előfordulni, ha a tűzfal a LAN-ról az internet felé irányuló kapcsolat connection tracking (vagy NAT) timeoutja előbb következik be, mint ahogy az internet felől a szabályos válasz megérkezne. Ilyen lehet az is, hogy hogy a munkaállomás által kezdeményezett kapcsolatmegszakítás (pl. RST vagy FIN) lezárja a tűzfal connection trackingjét, majd ezt követően érkezik az internet felől a kapcsolatmegszakítás (pl. FIN, FIN/ACK, RST/ACK).
Ha kíváncsi vagy rá, logold a kapcsolatfelépítések illetve a kapcsolatbontások csomagjait, és nézd meg, hogy látsz-e egyezést a keletkezett logokkal.