まず、どうやってキャッシュポイズニングを実現するのか。そこから理解が必要である。
キャシュサーバがコンテンツサーバに再帰問い合わせを実施したとき、正規のコンテンツサーバが回答するより先に回答をすることで、キャッシュポイズニングを実現する。

 コンテンツサーバ
 再帰問い合わせをしなければ、キャッシュしない。よって、キャッシュポイズニングが発生しない。

キャッシュサーバ
 DNSキャッシュポイズニングに攻撃は、キャッシュサーバに問い合わせを実施し、正規のサーバから回答が来る前に偽りの回答を送りこんでいる。よって、このような攻撃をさせなければよい。そこで、問い合わせを受けつけるのを、安全な内部セグメントに限定する。
内部セグメントであれば、(ボットなどによる攻撃を受ける可能性はあるが、)攻撃を受けにくいことは間違いない。

詳しくは以下も参照いただきたい。
http://nw.seeeko.com/archives/50312179.html