Eu tenho medo que com as capturas normais de pacotes não há como identificar o PID dos pacotes, porque tudo o que você pode ver é de que porta o pacote foi enviado.
Você pode usar o netstat para identificar quem está usando essa porta, mas o DNS leva milissegundos para que você tenha muita sorte.
O Systemtap pode ser usado para descobrir qual processo enviou pacotes do udp para o dns usando o exemplo de script systemtap: link
Última solução fornecida pela AWS: Se você não conseguir identificar e interromper atividades não autorizadas em sua instância do EC2, recomendamos que você termine a instância do EC2 comprometida e substitua-a por uma nova, conforme necessário.