Seit der Entdeckung der Kaminsky-Schwachstelle , haben BIND-Nameserver Abfragen von zufällig ausgewählten Ports abgeschickt, um das Fälschen von Antworten auf diese Abfragen zu erschweren. Bei zufälligen Abfrageports muss ein Möchtegernangreifer raten, an welchen Port er eine gefälschte Antwort senden muss. Und BIND 9 wählt standardmäßig seine zufälligen Abfrageports aus einem sehr großen Pool: von Port 1024 bis Port 65535.

Falls Sie dem Nameserver sagen müssen, dass er einen bestimmten Abfrageport nicht benutzen soll – zum Beispiel, weil bestimmte Ports von Ihrer Firewall blockiert werden –, dann benutzen Sie die Unteranweisung avoid-v6-udp-ports, die eine Liste von Ports als Argument entgegennimmt: