Cada computador tem uma lista de servidores DNS recursivos para contato.
Quando precisar resolver um nome, ele entrará em contato com um desses servidores (normalmente o primeiro da lista, e mudará para o segundo somente se o primeiro não responder).
É claro que, como qualquer coisa viajando à vontade na rede, qualquer elemento no caminho pode interceptar a consulta ou a resposta e reescrevê-la.
Acontece e é chamado de "DNS deitado". Alguns provedores de serviços de Internet, por exemplo, podem ser tentados a reescrever respostas NXDOMAIN (quando o recurso consultado não existe) para, em vez disso, direcioná-lo para uma página de mecanismo de busca genérica ou algo assim.
O cliente pode ou não ver facilmente se isso acontece no caso genérico. Somente se o recurso consultado usar o DNSSEC, o cliente poderá verificar se a resposta não foi modificada em trânsito. Ou, para maior segurança, será necessário usar DNS sobre TLS ou DNS via HTTPS, desde que ele verifique o certificado remoto.
Dê uma olhada no software dnssec-trigger com base em unbound .