Si no quiere que nadie cerca de usted detecte el tráfico de su DNS, puede usar una VPN para llegar a un punto final de confianza y luego usar el servidor DNS allí.
Si desea servir sus propios registros DNS de una manera segura, puede configurar DNSSec, pero tenga en cuenta que no todos los clientes entienden esto (por lo general, se vuelven inseguros, pero algunos pueden simplemente fallar).
Si desea asegurarse de no obtener respuestas de DNS falsificadas, debe configurar su host para que solo realice consultas de DNSSec y solo acepte respuestas de DNSSec. Desafortunadamente, una gran parte de Internet aún no protege sus dominios con DNSSec, por lo que debe aceptar respuestas inseguras (y posiblemente falsificadas) o limitarse a la parte "más segura" de Internet.
También es útil usar solo SSL (https) para que el nombre de host en el certificado se compare con el nombre en la URL y se produzcan fallas si alguien suplantó la respuesta del DNS. Por supuesto, esto depende de la arquitectura PKI más o menos dañada de Internet (por ejemplo, cada CA puede firmar un certificado, no hay revocación de trabajo ...).
¿O desea un servidor DNS que controle las respuestas para obtener una protección rudimentaria contra el malware? Un ejemplo de este servicio es opendns.