não é uma resposta, apenas alguns pensamentos aleatórios:
- você consegue ver esse tráfego quando apenas executa o tcpdump em sua interface de rede [virtual]? se assim for - você pode tentar descobrir se há algum padrão diário / horário? você pode criar a regra iptables para contar o tráfego e depois permitir que o plug-in munin coletar as estatísticas ..
- você pode tentar determinar qual aplicativo está gerando esse tráfego? Eu vejo dois métodos aqui:
- método brutal é esperar até que o tráfego seja exibido e começar a matar os aplicativos um após o outro.
- abordagem gentil - use iptables na cadeia OUTPUT e correspondência do proprietário para log pacotes de saída na porta 53 para o seu syslog. algo como: iptables -I OUTPUT -p udp -dport 53 - proprietário de correspondência - proprietário do proprietário 33 -j LOG --log-prefix "uid 33" aplicado a todos os seus uids usados. Verifique o syslog para ver qual processo gera o tráfego indesejado.
- você tem o servidor dns local [por exemplo, bind] em execução? se então:
- fareje também no loopback para ver qual aplicativo pode estar enviando solicitações que causam tráfego indesejado.
- servidores externos podem conversar com seu servidor dns? se assim for - talvez seja algum tipo de ataque de back-scatter onde o seu servidor recebe pacotes de endereços falsificados e responde bombardeando a vítima.
- você tem 110% de certeza de que seu código php não foi alterado? pode ser que alguns dos seus scripts contenham poucas linhas maliciosas?