DNS Amplification

Для предотвращения флуда можно использовать команду iptables

iptables -I INPUT --in-interface eth0 --protocol udp --dport 53 --match state --state NEW --match string --algo kmp --hex-string "|00 00 FF 00 01|" --from 40 --match recent --name DNST --update --seconds 600 --jump DROP

где:

eth0 - интерфейс на котором присутствует флуд (скорее всего должен быть внейшний)

53 - порт ДНС сервера

00 00 FF 00 01 - последовательность байто соответствующая "ANY"

40 - с какого байта в пакете начинать искать

600 - количество секунд за которые будет дропаться пакет при повторном обращении (при этом первое будет пропущено)

Кардинально картина не изменится: канал все еще будет забит, но злоумышленник не получит умноженный ответ от ДНС сервера.

Да и не плохо было бы правильно настроить сам ДНС сервер