При работе с DNS-серверами Bind, которые не являются открытыми преобразователями и не выполняют рекурсивные запросы, я вижу большое количество входящих запросов DNS-запросов, которые отклоняются или отклоняются, которые сосредоточены на доменных именах, в которых DNS-серверы указаны как авторитетные для запрашиваемые домены, но больше не настроены с зонами для доменов. Эти домены принадлежат третьим сторонам, которые переместили свои домены и спустя годы никогда не обновляли перечисленные DNS-серверы у своего регистратора. Почему эти очевидные DDoS-атаки UDP сосредоточены на ненастроенных доменах или зонах? Я не измерял сетевой трафик, чтобы увидеть, происходит ли какое-то усиление, но есть определенный акцент на ненастроенных зонах.
Мы видели похожие вопросы от пользователей, которые получали IP-пространство, которое ранее использовалось для DNS-серверов. Достаточно сказать, что вам даже не нужно прослушивать порт 53, если ваш IP-адрес когда-либо имел DNS-прослушиватель в прошлом (авторитетный или рекурсивный), вы увидите устаревшие запросы для доменов, которые ваш IP-адрес не является авторитетный для.
Просто игнорируйте несвежий трафик. Если вам нужно удостовериться в том, что вы не можете успешно использовать атаку, посмотрите на свое соотношение отправленного и полученного трафика. Если ваш средний исходящий трафик более чем вдвое превышает входящий, вероятно, что-то происходит.