Suponho que você sabe do que está falando quando diz que é um único servidor DNS. Eu sou cético, porque você não compartilhou sua metodologia para determinar isso, mas a minha resposta vai considerar que esta informação é precisa.
Normalmente, você executaria uma consulta, observaria o TTL observado e consultaria novamente assim que o TTL expirasse. Você continuaria com isso até que seu período de amostragem predeterminado fosse alcançado e comparasse as boas respostas com as respostas ruins.
Infelizmente, a palavra operativa aqui é "normalmente". Você está procurando uma resposta determinista, mas é difícil conseguir isso quando um servidor é comprometido e, na maioria dos casos, é preciso jogar a lógica pela janela até conhecer as especificidades da metodologia de exploração.
- Dada sua outra pergunta sobre security.SE , é mais provável que o servidor o próprio software foi comprometido do que este ser o resultado de ser bombardeado com respostas forjadas .
- O bombardeio de pacotes falsificados sempre seria ciclo em um TTL, mas outros métodos pode mudar a resposta imprevisivelmente antes que a janela TTL tenha expirado. Neste último caso, é difícil dizer se a mudança é devido a uma atualização ou não, a menos que você esteja 100% certo de que você está lidando com um único servidor e não com um farm atrás de um VIP. O TTL irá variar consideravelmente de forma consistente no último caso.
Para encurtar a história, você está trabalhando muito para um problema que não é seu e, como você não é dono, você tem poucas maneiras de garantir que suas informações coletadas sejam úteis. conclusão. (além de um exercício acadêmico em relação ao bem cru: más respostas ao longo do tempo, o que tornaria este Q & A em uma daquelas perguntas "me dê o codé" que nós desaprovamos neste site da SE)