Depois que um servidor de DNS resolve uma solicitação, ele armazena em cache o endereço IP que recebe. Uma vez que ele fez uma solicitação a um servidor de DNS raiz por qualquer domínio .COM, ele conhece o endereço IP para um servidor DNS que lida com o domínio .COM e, então, não precisa buscar por esta informação novamente com os servidores de DNS raiz. Os servidores DNS podem fazer isto para cada solicitação e este cache ajuda a agilizar as coisas.
Mesmo sendo totalmente invisíveis, os servidores DNS lidam com bilhões de solicitações todos os dias e são essenciais para o bom funcionamento da Internet. O fato de que este banco de dados distribuído funciona tão bem e de forma invisível, dia e noite - é testemunha do sucesso do projeto.
https://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
"Qualquer organização que possua um servidor DNS recursivo aberto corre o risco de ter esse servidor envolvido nos seguintes ataques:
Ser vítima de ataques de envenenamento de cache (cache poisoning), que levam o servidor recursivo a armazenar informações forjadas. Tais informações podem ser usadas para comprometer a segurança de clientes que façam consultas a esse servidor.
Ter esse servidor abusado por atacantes e utilizado para desferir ataques de negação de serviço distribuídos (DDoS), que podem implicar nas seguintes conseqüências:
o grande número de consultas DNS forjadas recebidas e, principalmente, a quantidade de respostas grandes enviadas para a vítima, podem consumir uma quantidade considerável de banda da rede com um servidor DNS recursivo aberto;
dependendo do contrato do provedor de conectividade, a rede com o DNS aberto sendo abusado pode ser co-responsabilizada em caso de ataque de negação de serviço contra terceiros.
Para detalhes técnicos sobre este tipo de ataque, consulte a seção "Características do Ataque de Negação de Serviço Abusando de Servidores DNS Recursivos Abertos".
Importante: caso a rede onde está instalado o servidor DNS recursivo, mesmo que configurado corretamente, não possua regras de ingress filtering, um atacante pode forjar o IP dos clientes desse servidor e realizar consultas DNS em grande quantidade, causando uma negação de serviço interna à rede."
Mas tem um detalhe, esse conceito de ser invisível ao mundo externo é antigo. Hoje em dia com nuvem, mobile, etc, o fato de que um servidor tenha origens de consulta restritas não significa exatamente que ele precisa ser "invisível ao mundo externo". Se observarem o artigo do Cert Br com calma verão que lá sim estão colocadas as medidas corretas. Mas o cespe, sem rigor técnico considera esse o modo correto.