Você não pode identificar a origem do ataque - os pacotes que seu servidor DNS está recebendo são de endereços de origem falsificados.
Basicamente, um invasor está enviando pacotes com endereços de origem forjados para seu servidor DNS. Eles estão fazendo perguntas que resultarão no envio de grandes respostas. Para usar seu servidor DNS como uma ferramenta de ataque, o invasor está falsificando o endereço de origem de um host que deseja inundar com tráfego de lixo e direcionando grandes números de servidores DNS, assim como o seu, para bombardear esse host com respostas falsas. Seu servidor DNS não está comprometido ou está fazendo nada de errado, por si só, mas você não deve permitir que seu servidor DNS envie grandes respostas para perguntas arbitrárias na Internet.
Basicamente, você precisa reconfigurar seu servidor DNS para não fornecer serviços de resolução recursiva à Internet. Seu servidor DNS deve responder apenas aos domínios para os quais é autoritativo.