■対策法
サーバの要塞化を図るとともに、以下の設定を行う。
1)コンテンツサーバ 
 キャッシュを無効にする。つまり、再帰検索を無効にする。設定は、recursion no
 結果的に、自分が持っている(権威ある)ゾーン情報のみを回答する。
2)キャッシュサーバ兼コンテンツサーバ
 コンテンツサーバとキャッシュサーバの分離を図り、それぞれの対策を実施する。
3)キャッシュサーバ
 再帰問い合わせは許可されたセグメント(一般的には内部セグメント)のみから許可する。
11d7b807


その設定で、運用上は問題ないのです?



キャッシュサーバは、企業の内部セグメントからの問い合わせだけに答えればよい。なので、問い合わせのIPアドレスは内部に制限できる。
プロバイダのDNSサーバであっても同じだ。自分のプロバイダにて払い出しているIPアドレスからの応答のみを答える。
 
※コンテンツサーバとキャッシュサーバに関しては、以下を参照いただきたい。
http://nw.seeeko.com/archives/50312179.html