Перехват DNS — подрыв разрешения DNS-запросов. Это может быть достигнуто с помощью вредоносных программ, которые перекрывают TCP/IP-конфигурации компьютера, чтобы запросы отправлялись на DNS-сервер злоумышленника, либо через изменение поведения доверенного DNS-сервера так, чтобы оно не соответствовало стандартам Интернета. Эти изменения могут быть сделаны в злонамеренных целях, таких как фишинг, или в корыстных целях Интернет-провайдерами (ISP), направляющими веб-трафик пользователя на собственные веб-серверы для показа рекламы, сбора статистики или других целей провайдера; и поставщиками услуг DNS для блокирования доступа к выбранным доменам как форма цензуры.
Одной из функций DNS сервера является перевод доменных имен в IP-адреса, которые требуются для подключения к интернет-ресурсу, такому как веб-сайт. Эта функциональность определена в различных официальных интернет-стандартах, определяющих протокол достаточно подробно. Компьютеры с выходом в Интернет доверяют DNS-серверам в корректном разрешении имен фактическими адресами, зарегистрированными владельцами доменов в Интернете.
Сервер-мошенник DNS переводит доменные имена запрашиваемых веб-сайтов (поисковых систем, банков и т. д.) в IP-адреса сайтов с непредсказуемым содержимым, даже вредоносных веб-сайтов. Большинству пользователей DNS-серверы назначаются автоматически их провайдерами. Компьютеры-зомби запускают трояны, незаметно изменяющие адрес автоматически присвоенного провайдером DNS-сервера на DNS-сервер мошенника. Когда пользователи пытаются посетить веб-сайты, они попадают на поддельный сайт. Такая атака называется фарминг. Если вредоносный сайт, на который перенаправляются запросы, маскируясь под легальный веб-сайт, пытается обманным путём получить доступ к конфиденциальной информации, то это называется фишингом.