Das Bild vergleicht den Transaktionsfluss einer gültigen DNS-Anforderung mit einer unzulässigen DNS-Anforderung.

In der gültigen DNS-Anforderung versucht ein Anforderer, auf die Website foo.com zuzugreifen. Die Antwort geht an den OCI-DNS-Listener, der ein Regelset konsultiert. Diese Regeln bestimmen, dass Anforderungen für *.foo.com an DNS-Resolver A gehen und die Anforderung an einen OCI-DNS-Forwarder senden sollen, der die Anforderung wiederum an DNS-Resolver A weiterleitet. DNS-Resolver A gibt eine Antwort über den OCI-DNS-Forwarder zurück, von dem aus er durch den OCI-DNS-Listener zum Adressanforderer zurückkehrt.

In der unzulässigen DNS-Anforderung versucht ein Anforderer, auf die Website junk.biz zuzugreifen. Die Antwort geht an den OCI-DNS-Listener, der ein Regelset konsultiert. Diese Regeln legen fest, dass Anforderungen für beliebige .biz (*.biz) eine NX_DOMAIN-Antwort zurückgeben, d.h. eine Nullumleitung, und die Anforderung wird abgelehnt.