Sí !
Si su servidor es un servidor recursivo, bloquee TODAS las consultas de fuentes desconocidas / no confiables, independientemente del puerto de origen. También debe bloquear las consultas, incluso de fuentes confiables, con un puerto de origen de 53.
Si su servidor es un servidor autorizado, sí, aún debe bloquear las consultas con un puerto de origen de 53.
De hecho, debe bloquear las consultas con cualquier puerto de origen con privilegios, e incluso con algunos puertos de origen sin privilegios. Por ejemplo, 5060 (SIP) también es un buen puerto de origen para bloquear.
He aquí el motivo:
Su servidor enviará su respuesta a la IP y al puerto de origen. Debido a la naturaleza de UDP, ambos pueden ser falsificados.
En un ataque DDoS en el servidor de nombres de un tercero, el atacante puede falsificar la IP de la víctima y el puerto del servicio (DNS) de la víctima (UDP 53) y enviar una consulta a su servidor. Tu servidor enviará la respuesta (mucho más grande) al servidor víctima y, sin saberlo, se convertirá en un arma en el ataque DDoS en sí.
La gran mayoría de los servidores de nombres envían consultas desde un puerto de origen no privilegiado al azar. El simple hecho de que una consulta signifique que proviene de UDP 53 es en sí mismo un indicador claro de que es malicioso.
El bloqueo de esta manera no hará mucho para proteger a su servidor de ser víctima de una DDoS, pero ayudará a proteger su servidor para que no se use para realizar una DDoS