Eu tenho um servidor de DNS autoritativo não associado ao domínio para uma zona, desabilitei a recursão de DNS nas configurações do servidor. Quando eu faço uma consulta com dig @ ns1.mydomain.tld. ele retorna as dicas de raiz.
Eu li que é possível criar uma nova zona primária chamada "." que atuará como zona de raiz. No entanto, isso ainda retorna o nome do host da minha caixa e algumas informações de soa incompletas.
Do meu entendimento, retornando dicas de raiz poderia ser usado para ataques de amplificação de DNS. Qual é a melhor prática para lidar com isso?
Infelizmente, você não pode desativar as dicas de raiz com o servidor DNS do Windows. Isso deixa sua máquina vulnerável a ser abusada por ataques de reflexão do DNS, no entanto, a maioria dos invasores procura por servidores DNS recursivos reais.
A longo prazo, você provavelmente desejaria migrar para outro software de servidor DNS para corrigir isso.
Você pode tentar remover todos os servidores de dica de raiz na guia Dicas de Raiz e, em seguida, ele retornará Falha de servidor para solicitações recursivas.
Eu sei que esta pergunta é um pouco datada, no entanto, para outros que procuram uma boa resposta para esta pergunta, há um excelente artigo escrito que explica como isso pode ser feito:
Eu não contribuí para este artigo de forma alguma e dou todo o crédito ao autor deste artigo (escrito em "Jesin's Blog").