Parece familiar e vi o mesmo comportamento dos serviços baseados em Linux.
É um comportamento específico do aplicativo, embora eu não consiga lembrar qual aplicativo rastreei isso também ... ou mesmo se eu realmente rastreá-lo para um aplicativo ...
Basicamente, o aplicativo em questão faz suas próprias pesquisas de DNS usando o resolvedor libC normal (o que é normal no caso em que algo como nscd
ou dnsmasqd
não está sendo executado como cache local) e o soquete do cliente é fechado antes de a resposta voltar. Como a resposta volta e não há nada escutando naquele soquete (Uconn não conectado), ele responde com uma porta inacessível.
Duas coisas podem ser melhoradas:
1) use um cache DNS do lado do cliente (de preferência não nscd se você se importa com TTLs curtos)
2) (não testado) drop na cadeia OUTPUT Pacotes inacessíveis ao ICMP indo para a porta UDP / 53
Eu sugeriria que o primeiro fosse a solução preferível, e isso provavelmente explica por que você não tende a ver isso vindo de máquinas Windows (que têm um cache local)