Desactivar las respuestas de recursión en servidores DNS públicos a direcciones IP de Internet aleatorias, es decir, cerrar el orificio de "resolución abierta", NO mitiga esto porque todavía puede realizar un ataque de amplificación / reflector de DNS falsificado simplemente enviando consultas que den como resultado un "puede" "No le daré una respuesta", que aún puede ser mucho más grande que la consulta entrante.
Realmente necesito usar alguna combinación de limitación de la tasa de respuesta o medidas anteriores como se menciona aquí anteriormente. Técnicamente, podría usar el filtrado de egreso para bloquear los paquetes salientes que se originaron en un enlace / interfaz diferente a la ruta al destino falso, pero en redes simples (es decir, con un solo enlace de Internet) no es posible.
Aquí hay un documento técnico antiguo que analiza algunas otras medidas de mitigación, como el uso de conteos de paquetes para adivinar la legitimidad de un paquete entrante:
enlace
Pero, por supuesto, el filtrado y las respuestas que limitan la velocidad en el "punto de reflexión" todavía no mitigan la gran corriente de paquetes entrantes que se dirige a su servidor DNS. Evita que el servidor DNS no retenga el destino deseado y que su servidor DNS se atasque con tráfico no deseado.