Le cache DNS atténue les attaques DDOS contre les fournisseurs DNS, mais le cache NE DEVRAIT durer que peu de temps.
La durée maximale de mise en cache d'un enregistrement de ressource est spécifiée par le serveur, appelée TTL.
La signification du champ TTL est une limite de temps sur la durée pendant laquelle un RR peut être conservé dans un cache. Cette limite ne s'applique pas aux données faisant autorité dans les zones; il est également expiré, mais par les politiques d'actualisation de la zone. Le TTL est attribué par l'administrateur pour la zone d'où proviennent les données. Alors que des TTL courts peuvent être utilisés pour minimiser la mise en cache et qu'un TTL nul interdit la mise en cache, les réalités des performances Internet suggèrent que ces heures devraient être de l'ordre du jour pour l'hôte typique. Si un changement peut être anticipé, le TTL peut être réduit avant le changement pour minimiser les incohérences pendant le changement, puis ramené à sa valeur antérieure après le changement.
(extrait de RFC 1034)
Le serveur peut dire au résolveur que l'enregistrement peut être mis en cache pendant plus de 68 ans, ce qui est généralement assez long pour qu'une attaque soit corrigée. Mais les serveurs ne le font généralement pas. Les grands sites Web ne veulent pas qu'une défaillance du réseau les affecte pendant longtemps. Une façon de le faire est de définir la durée de vie de leurs enregistrements de ressources sur une durée relativement courte, par exemple 5 minutes. De cette façon, ils peuvent modifier leur enregistrement DNS en cas de défaillance de certains de leurs serveurs. Et les clients interrogeant le RR toutes les 5 minutes ne sont pas trop surchargés que de l'interroger une seule fois.
De plus, les applications mettent généralement en cache le RR dans la RAM. Ainsi, les enregistrements sont perdus une fois l'application redémarrée. (Il y a des exceptions. Vous pouvez vider le cache de BIND dans le système de fichiers par exemple.)
Je veux mentionner Namecoin ici. Il stocke les noms de domaine sur le disque, dans une blockchain. Si votre site Web utilise un domaine .bit, il est peu probable qu'il tombe en panne uniquement à cause du fournisseur DNS.