В чём смысл (sl): query: sl IN ANY +E(0)D

Обычная атака, смысл на минимальный запрос получить максимально большой ответ. Настолько помню, эти «sl/ANY» приходят давно почти на любой NS, сейчас посмотрел на своих, не 1500qps, но тоже есть.

сейчас ответили из альфы

Добрый день! К вам прилетает зловредный трафик для совершения атаки DNS Amplification на ресурсы Альфа Банка путем IP Source Spoofing в адреса банка. …. Как вы понимаете, Альфа-Банк не может технически повлиять на блокировку трафика, создаваемого злоумышленниками на ваш ресурс.

то-есть они тут не причём? а вижу запросы и подсетей альфы

Не знаю, у себя в топе pdns ни одного 217.12.105. не нашел.

в общем, это не паразтный трафик, это запросы в которых подставной IP и порт, на который DNS сервер должен отправить ответ

то-есть, это не альфовцы ддосят, а ддосях альфовцев

придётся отключать UDP

А у тебя публичный резолвер?

Если это не твои клиенты, то зачем им вообще отвечать?

Резольвер не публичный, а только для 5 моих адресов, то-есть, по идее он не должен на них отвечать

Но входящие запросы идут, шли до itables, но канал то всё равно загружен