Este não é um ataque de DDoS (provavelmente). Em vez disso, seu servidor está simplesmente criando um número excessivo de consultas DNS de saída.
Embora estes se acumulem se você estiver tentando usar um resolvedor lento para consultar muitos nomes, a causa principal é que você está executando um serviço que está fazendo consultas rDNS em muito tráfego.
O motivo específico para essas consultas depende do uso do seu servidor, mas as causas comuns são os servidores SMTP (verificando se o rDNS corresponde ao nome do host ou aparência dinâmica, para filtragem de spam) e daemons de IRC (para determinar hostmasks). O Apache também pode causar essas consultas (use a diretiva HostnameLookups Off
conforme mencionado nos comentários para desativá-la).
Dependendo do conteúdo das consultas DNS, também pode indicar que você tem malware no seu host que está consultando o DNS, embora essa seja uma das causas menos prováveis.
Para determinar o processo responsável por abrir essas conexões, adicione a opção -p
ao netstat e observe qual processo está associado às conexões com uma porta de saída do UDP / 53.