Не думаю, что это объясняет, почему я не вижу этого, а ты видишь. Ещё одна вещь, которая может быть связана: я использую PiHole для DNS и заставляю все DNS-запросы проходить через PiHole. Я проверил свои логи и не вижу подобных запросов. Это правило из публичной (бесплатной) конфигурации по возникающим угрозам:
alert udp any 53 -> $HOME_NET any (
msg:"ET MALWARE Possible Zeus GameOver/FluBot Related DGA NXDOMAIN Responses";
byte_test:1,&,128,2;
byte_test:1,&,1,3;
byte_test:1,&,2,3;
content:"|00 01 00 00 00 01|";
offset:4;
depth:6;
pcre:"/^..[\x0d-\x20][a-z]{13,32}(?:\x03(?:biz|com|net|org)|\x04info|\x02ru)\x00\x00\x01\x00\x01/Rs";
threshold: type both, track by_dst, count 12, seconds 120;
reference:url,vrt-blog.snort.org/2014/03/decoding-domain-generation-algorithms.html;
classtype:trojan-activity;
sid:2018316;
rev:4;
metadata:created_at 2014_03_25, confidence Medium, signature_severity Major, updated_at 2023_05_19;
)
Я почти уверен, что другие спрашивали об этом же правиле недавно. Я не помню, к какому выводу пришли, но можно попробовать поискать. Если оно срабатывает, значит, произошло несколько запросов к очень странным именам хостов с довольно высокой частотой. Похоже, с этими устройствами что-то не так.