Sophos XG Firewallから大量のDNSアタック。なぜ?

表題の件、そのままだが、自宅内のESXiに構築したSophos XG Firewall(以下XG)から大量のDNSアクセスが発生していた。気がついたきっかけは、ルータの負荷がやけに高く、通常全く問題ないVPN通信が切れるどころか、ルータ自体がコケてしまったこと。

アクセスログを確認すると、不審なIPから延々と外部の53番ポートにアクセスしていた。慌てて色々と抜線していったところ結局ESXiのLANケーブルを抜いたところでアクセスが止まった。

問題のIPはDHCPレンジだったので最初どのクライアントかわからず、またarpテーブルを見ても、該当のIPアドレスに対するMACはわからなかった。しかし、ESXiで変なインスタンスを順に止めたところ、XGが大量に外部アクセスしていたことが判明。

確認したところ、XGのWAN側に問題のIPアドレスが当たっていた。しかしpingには応答しないし、arp解決もできない。ひとまずインスタンスを速攻で停止して問題は解決したが、あれは一体何だったのか。