BIND採用が進むDNSサーバー，ただし多くが攻撃されやすい誤設定 | 日経 xTECH（クロステック）
一番簡単な対策としては/etc/named.confのoptionsディレクティブに

allow-transfer{ none; };

を追加する。デフォルトでは、

allow-transfer{ any; };

となっているので、dig @nameserver domain.name afxrで管理サブドメインまで閲覧可能になってしまう。上記設定でもIPスプーフィングによって攻撃することはできる。DNSの場合、IPは知られているので。それで、TSIGという秘密鍵を使う。