O ataque que você está pensando geralmente é o envenenamento de cache, em que um invasor pode forçar um servidor a salvar informações incorretas e redirecionar o tráfego legítimo para um servidor controlado por hackers específico. Essa técnica é bem difícil de usar.
Se você puder controlar sua zona DNS, poderá sempre usar o DNSSEC para proteger o conteúdo de suas zonas e garantir que tudo seja validado antes / depois da transmissão.
Sobre o servidor DNS público, sinto muito, mas não vejo o que ele poderia trazer, já que você não seria capaz de enviar seus próprios registros nele. Se você está se referindo a algo como o Route53 da Amazon, bem ... eles ainda podem ser sequestrados, eu acho, e você ainda teria que atualizá-lo de uma forma ou de outra.