L'immagine confronta il flusso di transazioni di una richiesta DNS valida con una richiesta DNS non consentita.

Nella richiesta DNS valida, un richiedente tenta di accedere al sito Web foo.com. La risposta viene inviata al listener DNS OCI, che consulta un set di regole. Queste regole determinano che le richieste per *.foo.com devono andare al resolver DNS A e inviare la richiesta a un forwarder DNS OCI, che a sua volta inoltra la richiesta al resolver DNS A. Il resolver DNS A restituisce una risposta attraverso l'inoltro DNS OCI, da cui passa attraverso il listener DNS OCI al richiedente dell'indirizzo.

Nella richiesta DNS non consentita, un richiedente tenta di accedere al sito Web junk.biz. La risposta viene inviata al listener DNS OCI, che consulta un set di regole. Queste regole determinano che le richieste per qualsiasi .biz (*.biz) restituiscono una risposta NX_DOMAIN, ovvero un reindirizzamento nullo e la richiesta viene negata.