Schon mal was von reflection attacks gehört? man manipuliert den UDP Header der DNS anfrage mit einer falschen Absender IP und der Server mit eben der IP bekommt komplett unerwartet den Traffic vor die Füße geknallt.
Natürlich, aber ist hier nicht passiert da es ansonsten nicht so viele verschiedene Unique Clients gegeben hätte, die erhalten nämlich die Antwort... oder es wurden hunderte Ziele gedost innerhalb kurzer Zeit was wenig Sinn macht. Muss mal nachsehen ob ich noch rausfinde ob die per UDP oder TCP reinkamen, vielleicht gab es im Monitoring einen kleinen Ausschlag bei offenen TCP-Verbindungen