Временный DNS-спуфинг - причина и стратегия против

Сценарий: аппаратный маршрутизатор используется для подключения сети к Интернету. Маршрутизатор использует DNS-серверы интернет-провайдера и оснащен новейшей микропрограммой (уязвимости не известны). Кеширование DNS отключено. Насколько известно, все доменные имена обычно разрешаются на знакомые IP-адреса (=> других замечаний не обнаружено).

Недавно было замечено следующее странное событие в вышеупомянутой сети:

Будучи нормальным всего несколько секунд назад, www.google.de внезапно перестал преобразовываться в IP-адрес из обычных американских и американских диапазонов IP-адресов. Вместо этого маршрутизатор возвратил реальную связку вьетнамских IP-адресов, принадлежащих одной сети /24! Это не относится к клиентской рабочей станции, так как это можно увидеть и в файле журнала маршрутизатора. (Таким образом, причина не может быть вредоносной программой на клиенте.) Вывод nslookup следует (IP-адреса подвергаются цензуре):

$ nslookup www.google.de
Nicht autorisierende Antwort:
Server:  UnKnown
Address:  192.168.yy.yy

Name:    www.google.de
Addresses:  2a00:1450:...
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx
          203.113.xx.xx

Доступ к сайту в Firefox показал, что использовались странные IP-адреса, но был представлен действительный сертификат HTTPS для правильного CN!

Примерно через минуту повторная попытка показала, что разрешение DNS снова стало нормальным, и снова дала знакомые IP-адреса. Вероятно, www.google.de был единственным затронутым доменным именем. www.google.com и другие проверенные имена не были затронуты. Проблема больше не может быть воспроизведена и не является постоянной.

Что Вы думаете об этом?

Был ли обманут локальный маршрутизатор или даже DNS-сервер провайдера?

Я подумал о введении локального сервера DNS-кэша, который запрашивает несколько DNS-серверов и сравнивает результаты, прежде чем вернуть IP-адреса клиенту. Разумно?