https://dnsflagday.net/index-es.html

En caso de verte afectado la solución más rápida es bajar la última versión disponible en el sitio de tu software de DNS y compilarlo, sobretodo si tu distro no es muy reciente.

A partir de BIND 9.10 se incluye la función RRL (Response Rate Limiting) que nos sirve para limitar por host la cantidad de respuestas por segundo.

Esto se utiliza para evitar algunos tipos de ataque de DNS DDoS.

Para configurarlo hay que editar la sección “options” dentro de la configuración del BIND.

En el caso de Debian hay que editar

/etc/bind/named.conf.options

options {
 directory "/var/cache/bind";
 version "";
 transfer-format one-answer;
 notify yes;
 rate-limit {
   responses-per-second 5;
   log-only yes;
  };
};

En este ejemplo se agrega la opción log-only yes el cual sólo guardará en el log lo que se hubiera limitado, pero no hará ningún tipo de limitación. Esto es muy útil para poder verificar antes de implementarlo que no se esté limitando nada que nos pueda afectar.

Una vez que estamos seguros cambiamos la opción a log-only no para que comience a limitar las respuestas.

Desde la versión 9.9.4 ya se dispone de esta funcionalidad, pero viene desactivada. Hay que habilitarla en la compilación.

Fuente: http://kb.isc.org/article/AA-00994/0