曖昧な知識で申し訳ないですが、掲示板をお借りして質問します。

マルウェア侵入時の  fast-flux.example.com  に対する名前解決の順序なのですが、
マルウェアが侵入したNPCからまず内部DNSサーバに問い合わせて、DNSサーバ1/2に転送されるというパターンはありえないのでしょうか？
（正答例はプロキシ→DNSサーバ1/2→コンテンツ）

そう思ったのはブラウザが  fast-flux.example.com  というFQDNを内部ドメインか外部ドメインか区別する能力があるのか私自身分からない為です。
fast-flux.example.comを、はじめからブラウザがインターネット上のドメインと理解できていれば、正答例の順序となることは理解できます。
ただブラウザにとっては、問い合わせのFQDNが内部か外部か分からなければ、最初に内部DNSサーバに問い合わせて、それを正しいDNSサーバに転送してもらうというのもありそうな気がしており。

ご意見いただければ助かります。

ブラウザはプロキシサーバが指定されていると、名前解決を含めてプロキシサーバに丸投げするので、ブラウザが内部DNSサーバに問い合わせることは基本的にないと思います。
ブラウザがプロキシサーバ自体を名前解決するときと、ブラウザで「プロキシ除外」に設定されているホスト名を名前解決する場合に限って内部サーバ（もしくはhostsファイル）を使用するはずです。
内部DNSサーバに社外ドメインの名前を問い合わせても、知らないという応答が返るだけだと思います。

この投稿は投稿者により削除されました。(2023.12.12 14:35)

ありがとうございます。理解できました。