マジレスするわ

DNSサーバを直接攻撃してるのはユーザが使ってるルータがほとんどだよ
OpenResolverといってDNSの機能を外部に公開してる状態の有害なルータ
機種やVersionによって意図せずにその状態になってしまっている
そのルータを経由してISPのDNSサーバを攻撃してる
だからIPで制限しようにもサーバ側はユーザのクエリを遮断するわけにはいかない
対策は上位のルータでソースIPを遮断するか、サーバ側でドメインをブロックするか
一人あたりのクエリ数を時間で制限する、これくらいしかないんじゃないかな