Como uma resposta de DNS contém tanta informação?

Uma resposta de DNS pode conter muito mais do que um único endereço IP. Para uma solicitação do tipo A (pedindo endereços IP associados a um nome de host), você já pode ter vários IPs, portanto, se você encontrar um host que é servido por muitos IPs, a resposta já poderá ser maior que a solicitação.

Mas o DNS pode armazenar muitos outros campos. O DNSSEC assina as respostas do DNS, o que adiciona uma assinatura e todo o material essencial necessário para verificar essa assinatura. O DNS também pode armazenar campos TXT, que podem conter qualquer texto desejado, campos SSHFP que contenham as impressões digitais ssh das chaves do servidor. Não listarei todos os campos, a Wikipédia mantém uma lista . Usando uma solicitação ANY, você pode solicitar todos esses campos de uma vez, então a resposta pode ser bem grande.

Já foi muito bem respondido na pilha de securitização.

To amplify a DNS attack, each DNS request can be sent using the EDNS0 DNS protocol extension, which allows for large DNS messages, or using the cryptographic feature of the DNS security extension (DNSSEC) to increase message size. Spoofed queries of the type “ANY,” which returns all known information about a DNS zone in a single request, can also be used.

Fonte

Esse argumento "ANY" é o que torna esse tipo de ataque útil para atores nefastos, o que significa que para cada 1 byte que você envia, o alvo recebe cerca de 6-8 bytes. Isso transforma um invasor de 100 Mb em um invasor de 800 Mb.