JPRSから、DNS の再帰的な問合せを使った DDoS 攻撃の対策についてと言う文書が公開された模様です。
　　
DNSのキャッシュサーバとコンテンツサーバを一台で兼用するのは、
かなり危険であるという話です。
　　
コンテンツサーバとして外部に公開しているサーバならば、
コンテンツサーバとして管理しているドメイン以外の問い合わせが来るたびに
わざわざ代わりにルートサーバーからたどって情報を引きに行くか、
TTLが生きていたので過去に検索した結果の情報を返したとすると、
そのDNSから返ってくる情報が、正しいのか、正しくないのか、
一般ユーザーから判別ができないのです。
　　
例えば、ns.example.co.jp が　example.co.jp を管理している、
コンテンツサーバだとして、外部に公開されていたとしましょう。
そして、ns.example.co.jp がキャッシュサーバも兼ねていたとすると、

他者から、www.example.com のような外部ドメインを問い合わされたとき、
ns.example.co.jp は、
（コンテンツサーバとして管理していないドメインなので）
知らないと言えばいいものを、兼用されているので、同時に、
キャッシュサーバとして再帰的に検索して、www.example.com を調べて
その結果、自分が管理していないドメイン情報を返してしまうのです
そこに、ドメイン情報に対して毒を入れることができてしまうのも問題ではあります。
　　
「キャッシュサーバーとコンテンツサーバーを分けるのに、
　グローバルIPは二つもいらない。」
という話を、先日のDNS勉強会で、聞いたと思います。
　　
キャッシュサーバは内部にあればいいので、グローバルIPである必要がなく、
コンテンツサーバのみが外部に公開されるものなのだとか。