A partir de BIND 9.10 se incluye la función RRL (Response Rate Limiting) que nos sirve para limitar por host la cantidad de respuestas por segundo.

Esto se utiliza para evitar algunos tipos de ataque de DNS DDoS.

Para configurarlo hay que editar la sección “options” dentro de la configuración del BIND.

En el caso de Debian hay que editar

/etc/bind/named.conf.options

options {
 directory "/var/cache/bind";
 version "";
 transfer-format one-answer;
 notify yes;
 rate-limit {
   responses-per-second 5;
   log-only yes;
  };
};

En este ejemplo se agrega la opción log-only yes el cual sólo guardará en el log lo que se hubiera limitado, pero no hará ningún tipo de limitación. Esto es muy útil para poder verificar antes de implementarlo que no se esté limitando nada que nos pueda afectar.

Una vez que estamos seguros cambiamos la opción a log-only no para que comience a limitar las respuestas.

Desde la versión 9.9.4 ya se dispone de esta funcionalidad, pero viene desactivada. Hay que habilitarla en la compilación.

Fuente: http://kb.isc.org/article/AA-00994/0

Primero verificar la versión actual:

root@wn1:~# host -t txt -c chaos VERSION.BIND 127.0.0.1
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases:
VERSION.BIND descriptive text "9.5.1-P1"

Editar la configuración del BIND
En Debian la configuración está en:

vi /etc/bind/named.conf.options

En RedHat la configuración está en:

vi /etc/named.conf

Agregar dentro de la sección “options ” lo siguiente:

version “”;

Reiniciar el servicio y volver a comprobar

root@wn1:~# host -t txt -c chaos VERSION.BIND 127.0.0.1
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases:
VERSION.BIND descriptive text ""

Con esto quedará oculta la versión.