DNSサーバーを世界に公開するのはどのくらい危険ですか？

DNSサーバーが見つかり、使用されているが、ボットネットなどが使用されている場合、意図せずにDDOSになることは別として、それを行うリスクは何ですか？ Webをスキャンしている人が最終的にそのDNSサーバーを見つけて、いくつかの（悪い）理由でそれを使用するかもしれないと思いますが、結局私のLANは危険にさらされていますか？

理論的には、開いているポートがあると攻撃面が増加します。使用しているDNSソフトウェアに深刻な脆弱性が見つかると、LANが危険にさらされる可能性があります。

最大のリスクは、DNSサーバーが DNS増幅攻撃 の無意識の参加者になることです。また、ホーム接続が悪質なトラフィックで溢れ、飽和のために使用できなくなる可能性もあります。

不正使用を最小限に抑えるために、レート制限（RRL）を設定することもできます。 ここ は、たとえば、Bindでの実装方法です。

私がプライベートDNSサービスに対して通常行うことは、OpenVPNによって使用されるローカルインターフェース（tun0）のみをリッスンするようにリゾルバー（Unboundなど）を構成することです。したがって、VPNクライアントにのみ表示され、インターネット全体には公開されません。

したがって、最善の解決策はVPNを使用することです。これはすべての状況で便利ではないと述べましたが、次にできることはポートノッキングを設定することです。これは無名のセキュリティですが、このシナリオでは私には十分だと思われます。これが、コンセプトを説明する example です。ただし、ルーターがあるため、いくつかのポートを開く必要があります（定義するノッキングシーケンスで必要なポート）。

私が間違っている場合は修正してください。ただし、Piholeの doc を確認したところ、組み込みのDNS 'サーバー'はdnsmasqであるという印象を持っているので、 GoogleやOpenDNSなどの上流サーバーにリクエストを送信するforwarderのみです。次に、これはBindやUnboundのような実際のリゾルバーではなく、利点はそれほど明白ではありません。

ただし、アンバインドでPi-holeを使用する方法について説明します。 Pi-holeを再帰DNSサーバーソリューションとして設定する