ぁーDNSパケットを途中で取って、DNS プロキシみたいな動きをするってことか。

今回報告された最新の DNS キャッシュ・ポイズニング手法では、ソース・ポートをランダム化しない DNS リクエストが悪用されます。そのためこの攻撃は、ソース・ポートとリクエスト ID をランダム化することで回避できます。チェック・ポイントの VPN-1 および UTM-1 と Connectra では、SmartDefenseR: の DNS リクエスト・スクランブル機能を使用してこの攻撃を阻止することができます。この機能は2005年3月から提供されています。

チェック・ポイントのネットワーク・セキュリティ・プロダクト担当バイス・プレジデントであるオーデッド・ゴンダ（Oded Gonda）は、「Web リクエストを適切な Web サイトにマッピングする DNS サーバは、インターネットに不可欠な存在です。今回報告されたような DNS キャッシュ・ポイズニングは、インターネットのまさに中核となる機能を攻撃し、ユーザを悪意あるサイトに誘導しようとします。チェック・ポイントの VPN-1 および UTM-1と Connectra は、ソース・ポートとリクエスト ID の両方をランダム化することにより、組織内のすべての DNS サーバにパッチを適用することなく、この最新の DNS キャッシュ・ポイズニングを阻止します」と述べています。

http://www.checkpoint.co.jp/pr/2008/20080710mediadnsattacks.html