Názor k článku Princip amplification útoků zneužívajících DNS, NTP a SNMP od ludva - Trochu pozdě, já vím. Kontrola zdrojových IP se logicky...

Trochu pozdě, já vím.

Kontrola zdrojových IP se logicky musí provádět na koncových částech sítě, tam kde lze bezpečně znát "povolené" IP. Tedy obecně u koncových uživatelů. Lze i na hraničních routerech - vím, co z mé sítě může odcházet. Opravdu nevím, proč bych měl povolit cokoliv, když to cokoliv ani neroutuji, tedy nemám jak vrátit případnou odpověď ...
Obdobně to chodí v u BGP - naprostá většina peerů může mít filtr povolující jen segmenty toho konkrétního peera. Kdyby to nebylo, tak (klidně chybou v konfiguraci) oznámím do zbytku světa, že mám segment třeba Googlu ... to by byla docela sranda, co?

A naprosto, ale naprosto stejné je DNS. Můj rekurzivní DNS server nemá za práci nic jiného, než odpovídat svým klientům (na mé síti) na jakýkoliv dotaz a těm ostatním pouze na dotazy na domény, pro které je autoritativní.
Tak to je, bylo a bude ... povolení rekurze komukoliv je prostě zbytečné a z principu nebezpečné.
Omezení dotazů pomocí RRL je poměrně bezpečná věc - nepočítají se jen dotazy z IP, ale pomocí trochu složitějšího algoritmu.

Ani jedno sice nezabrání případnému zneužití ze strany mé sítě, ale vlastní sítě máme přeci jenom pod kontrolou, že? Čili to dokážeme rozpoznat a vyřešit ... na rozdíl od zneužití z Kamčatky.