蓬勃发展的互联网为我们的日常生活、学习和办公都提供了非常便利的条件。但是,近几年来互联网安全事故不断的出现,说明互联网容易遭受攻击。DNS解析系统是目前互联网重要的基础部分,如果DNS解析系统无法正常的工作,互联网也不可能高效和正常的工作。DNS欺骗攻击是造成DNS解析系统无法正常工作的主要因素,因此对它的研究显得尤为重要。本文结合现有的DNS欺骗攻击的安全策略存在的问题,即完善的防护、简易的部署和高效的处理无法兼备,提出了一种以本地代理的方式进行部署的DNS欺骗攻击防御模型。该模型不仅可以完善的防御DNS欺骗攻击,而且以分层处理和多模块协作的思想进行设计,优化了部署方式和处理流程。在上述模型的基础之上,本文实现了一个DNS欺骗攻击防御系统。该系统由IP黑名单模块、缓存模块和过滤模块组成。IP黑名单模块负责拦截已知攻击者和主动发现潜在攻击者。缓存模块除了维护缓存内容之外,还对缓存内容进行定时校验。过滤模块负责识别攻击响应包。该系统以本地代理的方式进行部署。当收到DNS客户端的DNS查询之后,该系统首先会查找缓存模块,再转发给后端DNS服务器。当收到DNS服务器的响应之后,该系统首先经过IP黑名单的处理,然后再由响应过滤模块进行校验,最后将正确的DNS响应发送给DNS客户端,并且更新缓存模块的内容。最后,本文通过Back Track5搭建攻击平台进行实验,验证了本系统在可以简易部署的情况下,兼备防御DNS欺骗攻击的完善性和处理的高效性。