Сделать перехват и подмену 53 udp елементарно. В микротике вроде не реализовано ничего вроде dns over ssl или dnscrypt из коробки для защиты от этого. Но с помощью нехитрых манипуляций фаервола можно перенаправить на себя dns сервер, который висит на другом порту например.