Man benutzt die DNS-Server im Internet, um bestimmte Domains bestimmten IP-Adressen zuzuordnen. Gibt ein Benutzer eine URL ein, dann übersetzt der nächstgelegene DNS-Server die Domain in eine IP-Adresse oder gibt die Anfrage an einen anderen DNS-Server weiter. Es gibt nur eine kleine Anzahl von sehr großen DNS-Servern. Diese beliefern die kleineren DNS-Server mit den DNS-Eingängen, die dann im Cache der kleineren DNS-Server gespeichert werden.

Als DNS-Poisoning bezeichnet man das Manipulieren der IP-Adressen-Einträge, die im Cache der kleineren Server gespeichert werden sollen. Damit soll der DNS-Server dazu gebracht werden, sich nicht mit einer korrekten IP-Adresse zu melden, sondern mit einer, die einen schädlichen Angriffsbefehl enthält. Ein Beispiel: Ein Benutzer gibt die URL ‚www.kaspersky.com’ in den Web-Browser ein, darauf müsste der DNS-Server mit der IP-Adresse 81.176.69.70 antworten. Ein infizierter DNS-Server würde auf die Domain jedoch mit einer IP-Adresse antworten, die einen schädlichen Angriffsbefehl enthält.

DNS-Poisoning kann jedoch nur auftreten, wenn das Betriebssystem des DNS-Servers verwundbar oder seine Sicherheit geschwächt ist.