Был похожий случай, служба DNS оказалась открыта извне и ее активно использовали.
Вычислил с помощью /tool torch и /tool profile. Закрыл 53 порт на внешнем интерфейсе и все стало нормально.
ip firewall filter add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop