Und wieder hilft uns ein Flag, denn in den Antworten steht mittels einem Flag, ob der Server für den angefragten Namen authoritativ ist.

dns.flags.response == 1 && dns.flags.authoritative == 1

Evtl. muss auch hier noch mit !mdns das MDNS-Protokoll herausgefiltert werden. Die meisten Anfragen sind wahrscheinlich nicht autoritativ, evtl. sogar keine, denn das DNS nutzt Caching wo es eben geht, um den Auflsösungsprozess zu beschleunigen. Autoritative Antworten kommen aber von dem Server, der wirklich für den Namen zuständig ist und nicht von einem Cache dazwischen.