Защита DNS

http://wiki.colobridge.net/безопасность/противодействие_атакам_dns_amplification_ddos

dig -t all ya.ru @<IP адрес вашего сервера>

Ответ защищенного сервера (не поддерживающего рекурсию):

host ya.ru 77.72.133.217
Using domain server:
Name: 77.72.133.217
Address: 77.72.133.217#53
Aliases: 

Host ya.ru.keyweb.ru not found: 5(REFUSED)

https://blog.amet13.name/2015/07/dnsmasq-dns-amplification.html
# vim /etc/dnsmasq.conf

no-resolv
dns-forward-max=0

# service dnsmasq restart

Проверка:
# dig @$IP +edns=0 +ignore +noadflag com ANY

https://habrahabr.ru/post/51574/
iptables -A INPUT –in-interface eth1 –protocol udp –dport 53 –match state –state NEW –match string –algo kmp –hex-string “|00 00 02 00 01|” –from 40 –to 45 –jump DROP

https://www.lowendtalk.com/discussion/30091/how-to-secure-an-open-dnsmasq-on-the-internet

http://webhamster.ru/mytetrashare/index/mtb0/1467183959tht1i59386

# не пересылать простые текстовые запросы (без точки или без части домена)

domain-needed

# никогда не пересылать не маршрутизированные адреса

bogus-priv

# запрет считывать адреса DNS-серверов с файла resolv.conf

no-resolv

# отключение отслеживание изменения файла /etc/resolv.conf или другого файла выполняющего его функцию

no-poll

# Адреса верхних DNS-серверов (прописаны google OpenDNS)

server=8.8.8.8

server=8.8.4.4

# Для защиты от DNS атак необходимо запретить ответы от вышестоящих DNS серверов с IP адресами компьютеров локальной сети:

stop-dns-rebind

# очистка DNS-кэша при перезапуске сервиса

clear-on-reload