这是DNS攻击吗？

Question

下图显示了UDP DNS查询/秒(蓝色)和DNS响应/秒/秒(红色)流量通过路由器前4天。DNS查询是一个在头和DNS响应中将query/response flag设置为0的DNS数据包，标志设置为1。

1. 30分钟左右的跳跃反应是否类似于某种攻击？
2. 查询中的跳转如何？
3. 为什么在很长一段时间内，查询和答复之间存在着巨大和持续的差异？

编辑:上图显示了UDP上的DNS。下面是系统/秒图：

编辑:这是交通通过一个国家和互联网的一部分。

Answer 1

我犹豫不决，仅仅因为缺乏提供的数据--尽管只是基于图表--我认为这是由于有人使用这个服务器进行DNS隧道。David写了一篇关于DNS隧道检测的文章，通过分析网络统计数据。他说，您可以通过看到DNS查询的非常不平衡的请求/响应来检测DNS隧道，而您似乎拥有这样的请求/响应。

DNS隧道检测的流量分析方法

Answer 2

如果您有兴趣在这里获得任何有用的答案，则必须捕获数据包、查询日志或网络流记录。在最基本的层次上，我们需要建立五元组关系，以准确地确定通信发生了什么。在那里，人们可能会根据查询日志更深入地挖掘，找出发出请求的可能是什么。