Geralmente as perguntas DNS são bem formadas, mas como tudo tem sua exceção, veja a seguinte consulta DNS

00:00:13.372296 IP CLIENTE_DNS.43525 > SERVIDOR_DNS.53: 14737% [1au] MX? DOMÍNIO.gov.br. (39)

Vamos observar com mais detalhes esse pacote

00:00:13.372296 IP (tos 0x0, ttl 49, id 0, offset 0, flags [DF], proto: UDP (17), length: 67) CLIENTE_DNS.43525 > SERVIDOR_DNS.53: [udp sum ok] 14737% [1au] MX? DOMÍNIO.gov.br. ar: . OPT UDPsize=4096 (39)

Observando as flags da consulta DNS a partir do tshark, podemos constatar:

Flags: 0x0010 (Standard query)
0... .... .... .... = Response: Message is a query
.000 0... .... .... = Opcode: Standard query (0)
.... ..0. .... .... = Truncated: Message is not truncated
.... ...0 .... .... = Recursion desired: Don't do query recursively
.... .... .0.. .... = Z: reserved (0)
.... .... ...1 .... = Non-authenticated data OK: Non-authenticated data is acceptable

A mensagem “Non-authenticated data OK: Non-authenticated data is acceptable” presente no campo RCODE pode ser traduzida como o CLIENTE_DNS desejando estabelecer uma conexão com o SERVIDOR_DNS utilizando EDNS0, ou seja, Extension Mechanisms for DNS.

Para mais detalhes acesse a RFC 2671.

Fonte: http://osdir.com/ml/network.dns.bind9.user/2003-09/msg00098.html

Boa sorte