<div dir="auto">Ok Stephane<div dir="auto"><br></div><div dir="auto">There's no firewall or IPS in front of the DNS. Only the  Centos firewall policy permitting dns traffic.</div><div dir="auto"><br></div><div dir="auto">Sure,  I will take the tcpdump and revert </div><div dir="auto"><br></div><div dir="auto">Thanks  & Best Regards</div><div dir="auto">Isaac </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, 12 Apr 2020, 3:48 pm Stephane Bortzmeyer, <<a href="mailto:bortzmeyer@nic.fr">bortzmeyer@nic.fr</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Sun, Apr 12, 2020 at 01:41:52AM +0000,<br>
 sir izake <<a href="mailto:sirizake@gmail.com" target="_blank" rel="noreferrer">sirizake@gmail.com</a>> wrote <br>
 a message of 153 lines which said:<br>
<br>
> At specific times of day bind fails to respond to queries even<br>
> though service is shown to run (configured to respond to my network<br>
> IPs, this works fine till this time when service fails to answer<br>
> queries)<br>
<br>
The problem may be because of another component in your network. Are<br>
you sure there is not some sort of firewall or IPS in front of BIND,<br>
which decided to drop packets? Check with tcpdump or similar tools<br>
that the machine with BIND does receive the queries.<br>
<br>
> Apr 11 22:38:09 #####  kernel: TCP: request_sock_TCP: Possible SYN flooding<br>
> on port 53. Sending cookies.  Check SNMP counters.<br>
<br>
This may indeed be a DoS attack but may be not. Check with tcpdump<br>
what sort of traffic you receive. Also, the message is for TCP but DNS<br>
works mostly with UDP so it may has nothing to do with your problem.<br>
<br>
> Could  log point to DDoS attack ( how do i mitigate)<br>
<br>
It depends. There is no general rule to deal wih DoS attacks, you need<br>
to investigate first.<br>
</blockquote></div>