このパケットはCloudflareのpublic DNSサーバーからではありません。 おそらく、AS2907かAS4713に接続された、IPv4アドレスが1.1.1.1に設定されている『Captive Portal』(ホテルやカフェなどで無線LANを利用する際に強制的に管理者が指定したwebにアクセスさせる仕組み)からのもののようです。(まとめ作成者の推測) 内部ネットワークにIPv4アドレス1.1.1.1が設定された機器があり、インターネットと内部ネットワークの境界になる機器に適切な設定がされていない場合にこのようなことが起きます。 ISPがこういう事態に対処するために、BCP38と呼ばれる取り組みがあります。 https://www.nic.ad.jp/ja/basics/terms/ingress-filtering.html 関連するまとめ 福岡大学の公開NTPサーバーに関するまと