Isso que fiz e nunca mais tive problema. Fez o teste no openresolver.com?
Versão Imprimível
A esqueci, coloca a interface do seu link como interface de entrada na regra. ;)
Use esta regra:
/ip firewall filter add chain=input in-interface=LINK dst-port=53 protocol=udp action=drop
OBS.: Não esquece de alterar a interface do LINK para a sua ether.
Qualquer dúvida pode consultar o tópico:
https://under-linux.org/showthread.php?t=180472
veja os videos abaixo que vc vai ter uma ideia do ataque
https://www.youtube.com/watch?v=5GA73QPTvnc
https://www.youtube.com/watch?v=sszEFTmLnFg
Caro, ja tive esse problemas, assim como os colegas acima descreveram o ataque é via porta 53 provenientes em sua maioria da china, país esse onde o acesso é controlado pelo governo, sendo assim eles usam redes sem proteção para navegarem em sites bloqueado pelo governo deles.
Basta seguir a recomendações acima "dropando" essa porta. Cuidado para não fechar totalmente ou vai derrubar a resolução DNS e seus clientes não vou conseguir resolver os sites vai apenas "pingar". Pesquise um pouco como fazer tem aqui no forum. Boa sorte.