Этот ответ не является ответом и даже не касается вопроса. Ответ, предоставленный выше, состоит в том, как написать правило, блокирующее весь доступ к серверу или рабочей станции, блокируя IP-адрес в брандмауэре и вообще не обращаясь к имени DNS, и, следовательно, не затрагивает фактический вопрос.
Мои исследования привели меня к выводу, что если вы используете DNS 2016 года, вы можете сделать это с помощью политики запросов DNS, но не с любой предыдущей версией.
Основной причиной этого может быть то, что поддельные UDP-пакеты BS попадают на серверы MS dns по всему миру, поэтому ограничение скорости отклика также помогло бы, но опять-таки доступно только в 2016 году (даже если у Bind это было годами и годами)
Существует также список заблокированных запросов, но он, вероятно, работает только для рекурсивных поисков и ничего не делает для фальшивых запросов на домены NX на авторитетных серверах DNS, когда я писал эти блоки, и запросы все еще приходят.
Лучший способ борьбы с этим - это # 1. Убедитесь, что рекурсивы отключены, # 2 верните ответ NXDomain, убедившись, что в вашей точечной зоне (.) Нет записей, в том числе и записей серверов имен. Это вернет наименьший пакет в ответ, а усиление атаки будет в основном аннулировано.