Ну валица тебе udp трафик, и что? Все равно отказаться от него ты не можешь.
Главное, что твой dns сервер переставал отвечать на эти запросы и больше не участвует в атаке. Стало быть злоумышленнику нет смысла тратить на твой сервер ресурсы. (выхлопа нет)
Через некоторое время в базе доступных для dns усиления адресов, твой сервер будет отмечен как нерабочий и dns запросы закончатся.
Это и так понятно.
С провайдером разговаривал, в топ 50 меня нет, это уже хорошо. Это потому что dns сервер потушил совсем и закрыл все снаружи, хотя там и так закрыто все было.
Сижу пакеты которые задампил разбираю. Запросы не стандартные. Не понимаю как их можно вообще сформировать так и самое главное чем. Сдается мне это специальная система какая-то, программный комбайн с системой анализа. Причем прилетают пачками, потом пауза, потом еще пачка, пауза и т.д.
Пробовал перед железкой поставить машинку с двумя интерфейсами и на ней при работающем dns сервере фаерволом запретить внешние запросы на 53 порт. Половить пакеты и посмотреть что происходит. Отрабатывает сразу и в полном объеме.
Исходя из этого сделал вывод.
При одинаковых настройках запрещающих входящие и проходящие запросы dns железка пропускает их если даже порт закрыт, а машинка отрабатывает на 100%.
Значит в железке есть, как это не прискорбно говорить, уязвимость, которая себя никак раньше не проявляла и проблем не было.
Посмотрел прошивки официальные, ничего подобного в описаниях по исправлению не нашел.
Похоже придется покормить урну железкой. Хлам дырявый нам не нужен.