Los resolutores de DNS eligen el servidor de nombres para obtener la respuesta de forma aleatoria. No hay diferencia entre los servidores NS primarios y secundarios desde este punto de vista.
Si tiene 2 servidores NS y uno está comprometido de alguna manera, hay aproximadamente un 50% de probabilidades de que el servidor DNS de caché solicite un servidor NS comprometido. Cuando lo haga y obtenga una respuesta falsa (posiblemente apuntando a un objetivo malicioso), recordará dicha respuesta y la devolverá a todas las consultas subsiguientes para el mismo nombre DNS hasta que caduque el TTL de la respuesta (que puede ser bastante largo, como varios días). , si el atacante es lo suficientemente inteligente).
Si el visitante de dicho sitio utiliza un sistema de resolución recursivo (servidor DNS de almacenamiento en caché) configurado correctamente y que cuenta con DNSSEC y el dominio example.com está firmado con DNSSEC, es bastante seguro.
El sistema de resolución de DNS verifica la respuesta del servidor de nombres autorizado en los registros de DS de la zona principal (en este caso, la zona .com). Si la respuesta es falsa, el programa de resolución devuelve un error (y no almacena en caché la respuesta incorrecta). Solo si se rompe la criptografía utilizada para firmar la zona DNS en cuestión (o cualquiera de las zonas principales) o si el atacante conoce las claves secretas, solo entonces podría falsificar dicha respuesta DNS.