Колеги, подскажите решение.

Как отличить IP адрес DNS-сервера от IP-адреса простого?
Что-то мне кажется что ни как.

Дело в том, что при DNS-DDoS в бан ушло очень много IP DNS серверов.. В итоге сейчас есть очаговые проблемы с доступом - по провайдерам Подскажите кто чем может Надоело уже ручками разблокировать по жалобам клиентов.

(костыль)
Берем лист правил файрвола, выдираем оттуда IP, начинаем долбится на 53ий порт. Достучались - кидаем в белый лист и разбаниваем, не достучались - оставляем как было. Но это криво

Очень многие DNS кеширующие Вам не ответят вовсе. (:
Если DDOS продолжается, то я бы сказал следующее ( исхожу из того, что DDOS не очень сложно организован).
1. Делаем обратное преобразование всех IP адресов из таблицы. Выносим из таблицы все где есть dns/ns/www и где корень домена второго уровня. - крайне вероятно что это валидные ns сервера.
2. Включаем логирование DNS.
3. Выносим из таблицы 5-10% адресов.
4. Смотрим логи (вычленяем наиболее частые запросы). Нормальный DNS не будет повторять одни и те же запросы ( у него какой-никакой но должен быть кеш) и не будет слишом часто запрашивать что - то не существующее ( что у Вас было там - думаю знаете). Тех кто слишком часто повторяет одинаковые запросы или спрашивает несуществующие данные (или что там было в атаке на Вас).
5. Провинившихся заносим в таблицу ( лучше новую).
P.S. если атака на самом деле продолжается, но атакающий IP должен отличается постоянным попаданием в фаервол с почти равномерным во времени количеством пакетов, можно и этим воспользоваться для вычления.

ой, опередили.