มี dns server ทั่วโลกประมาณ 30-40% ที่เสี่ยงต่อการถูก cache poisoning attack
เนื่องมาจาก การเปิด allow recursion น่ะครับ

* allow recursion ==>
mode ที่อนุญาตให้ dns server เครื่องนั้นๆ เป็นเครื่องที่ทำหน้าที่ไปหา ip เองโดยตรง
โดยไม่ refer กลับไปที่ root server
เหมือนกับ dns server ของ isp ต่างๆ อะไรประมาณนี้แหละครับ

* cache poisoning attack (cpa) ==>
การแก้ไขข้อมูลใน cache ที่ส่งผลให้ dns server ดังกล่าว รายงาน ip ที่ถูกแก้ไขออกมาแทนที่ ip จริงๆ
เช่นสมมติ www.icez.net ปกติได้ ip 203.146.129.182
มีคน lookup เข้ามาที่ dns server ที่ถูกทำ cpa ไปที่ ip 123.45.67.89
ตัว dns server ที่ถุกทำ cpa ก็จะ reply ip ไปว่า 123.45.67.89
เป็นผลให้ client เชื่อมต่อไป server เครื่องอื่น

การโจมตี dns แบบนี้อันตรายมากสำหรับเว็บไซต์ทางการเงินทุกอย่าง
เพราะผู้ใช้จะไม่รู้เลยว่า connect เข้าไปถูก ip หรือไม่
(ยิ่งถ้าทำ ssl cert ปลอมขึ้นมาอีกนี่ ยิ่งแย่เข้าไปใหญ่)

ROOT SERVER ที่ตั้งในไทย มีชื่อว่า I.ROOT-SERVERS.NET ครับ
เป็นของ กสท

การตรวจสอบเบื้องต้น

dig +short @<ip.or.host.dns> porttest.dns-oarc.net TXT 

ปรกติก็จะมีข้อความตอบกลับมาว่า

porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
“xxx.xxx.xxx.xxx is GREAT: xx queries in x seconds from x ports with std dev x”

ถ้า GREAT แสดงว่า ปลอดภัย

แต่ถ้าเป็น

porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
“xxx.xxx.xxx.xxx is POOR: xx queries in x seconds from x ports with std dev x”

POOR แสดงว่า dns นั้นเวอร์ชั่นเก่ามากและเสี่ยงต่อ Cache Poisoning

รายละเอียดและการแก้ไขเบื้องต้น
http://www.howtoforge.com/how-to-patch-bind-to-avoid-cache-poisoning-fedora-centos