Статью можно целую Вам написать в ответ на вопрос. В общем можно констатировать, что в BIND уже давно перестали находить дырки ( но могут найти еще) и остались в общем тока проблемы с самим протоколом DNS - из за алгоритма его работы, состоящего в том, что он шлет запросы по UDP и единственный способ подтверждения что ответ на запрос был послан именно с легитимного сервера это приход в ответе идентификатора, являющегося 16 битным числом. Таким образом злоумышленники могут угадать или перехватить этот ID и направить вам ответ неверный (что приведет к DOS атаке) или c адресом себя же ( что приведет к атаке человек посередине) или с адресом каго-то сайта (и вы подвергнетесь фарминг атаке). Хорошим способом защиты от атак на протокол DNS является поставить систему обнаружения и предотвращения атак. К сожалению защищенная версия DNSSEC в Интернете так и не развивается по определенным причинам.
Если коротко перечислять список, то получится следующее:
1. Самое главное поставить последнюю версию BIND и еще главнее следить за тем, чтобы она всегда была "самой последней".
2. Не говорить хакерам версию вашего BIND. Например так:
options {
version "KGB Edition";
};
3. Вообще говоря не нужно иметь один DNS сервер: сделайте хотя бы два: внутренний и внешний, тогда только внутренние пользователи будут иметь возможность разрешить внутренние адреса, а внешние смогут узнать только общедоступные имена вашей сетки, типа www. Опять же здесь защита идет совместно с firewallом. Подробнее описывать не буду - если вам интересно, то сходите на курсы или почитайте книжку про этот метод защиты.
4. Трансфер зон разрешате только с secondary серверов. Не надо злоумышленникам разрешать скачивать зоны. Например закройте TCP 53 на Firewall для всех кроме secondary dns.
5. Ограничьте сам демон. FreeBSD позволяет заключить демона в jail - смысл в том, что демон работает в фиксированной папке и не может выйти из нее, даже если захочет. Запустите DNS сервер из под jail.
6. Разберитесь с рекурсивными запросами. Хотите ли вы, чтобы неизвестные юзеры из интернета заставляли ваш DNS сервер делать рекурсивные запросы? Думаю что нет. Запретите это.
и т.д. книжек на эту тему много исписано, особенно в издательстве O'Reilly
У них есть очень интересная книжка DNS and BIND. Вам нужна 11 глава.
кстати не забудьте защитить сам по себе FreeBSD, знаете если взломают саму операционку то ваша навороченная защита DNS будет ненужна.