>> Прошивка при этом стоит самая крайняя
> Обновить до последней не пробовали? Крайняя=последняя. :) Простите за профессиональный (по прошлой профессии) слэнг. Это явная ошибка производителей. Как я указал выше - роутер в ДЕФОЛТНЫХ настройках может использоваться в качестве ДНС-релэя. Для флуда ДНС провайдера (нас, в данном случае) ДНС-запросами. Если бы сервер не имел кэширования - то можно было бы предположить, что наши ДНС используются в качестве ботнета для атаки DNS amplyfier для атаки определенных доменов. Но это не так - запрос на NS сервера атакуемого домена формируются только один раз, потом испольуется кэш до истечения TTL. Если интересно - могу список запрашиваемых доменов привести. Он один и тот же. Анализируя ситуацию - парсил нетфлоу-файлы. Источники мы выявили и перекрыли часть на магистральной циске. География источников разная - и Нидерланды, и Украина, и Чехия и т.д. Но всегда источники UDP-запросов идут с одного IP. Много-много. С одного IP (нашего внутреннего) формируется в итоге порядка 7-9 запросов в секунду. Лупят не наугад, а, по видимому, составив предварительно список уязвимых роутеров. Их получить можно запросто. Например, вот такой командой dig @IP_адрес domain_name. Если ответ получен - IP можно использовать в качестве ДНС-релэя.
Вариант для распечатки
