La vittima non ha bisogno di usare il server dei nomi degli attaccanti, anche se questo può rendere le cose più facili. L'idea principale è che il record DNS originale sia sotto il controllo degli attaccanti e quindi anche il TTL (time to live) di questo record:
- Vittima tenta di accedere al sito web. Per ottenere l'indirizzo chiede al server DNS delle aziende. Poiché il record non è memorizzato nella cache, il server DNS risolve in modo ricorsivo il nome e restituisce il record (dal server DNS degli hacker) alla vittima.
- Se la vittima ha bisogno di cercare nuovamente l'indirizzo IP (che può essere spesso attivato da errori di connessione sul primo IP) richiederà di nuovo al server DNS dell'azienda. Se il record è memorizzato nella cache, TTL viene controllato. Se il record è ancora valido, verrà restituito alla vittima (con il vecchio indirizzo). Se non è valido, il server DNS dell'azienda risolverà nuovamente ricorsivamente il nome e alla fine otterrà il nuovo record dal server DNS degli hacker.
Un'altra opzione potrebbe essere che l'autore dell'attacco restituisca una risposta che contiene già entrambi gli indirizzi IP (quello buono e quello cattivo). La vittima utilizzerà prima il buon indirizzo. Una volta che questo smette di funzionare (che può essere attivato dall'attaccante), la vittima riproverà con l'indirizzo IP (cattivo) alternativo.