Для предотвращения DDoS атак применяются ограничения rate-limits. Проблема в том, что для рекурсивных запросов --enable-rrl (при сборке) недостаточно: по факту ограничения не работают, хотя bind и не сообщает о ошибке в options.conf при запуске службы. Тут написано, что версию 9.9.8+ нужно собрать с опцией --enable-fetchlimit https://kb.isc.org/article/AA-01304/189/Recursive-Client-Rate-limiting-in-BIND-9.9.8-and-9.10.3.html
Ок.
bind-9.9.8-alt3 -> sisyphus: * Thu Mar 10 2016 Fr. Br. George <george@altlinux> 9.9.8-alt3 - Update to ftp://ftp.isc.org/isc/bind9/9.9.8-P2/bind-9.9.8-P4.tar.gz - Build with --enable-fetchlimit (Closes: #31701)
