前提
DNSのゾーン転送はTCP 53で行われていることを最近知りました。
表題のキャッシュポイズニングはIP偽装することで偽の応答パケットを送信していると理解していたのですが、TCPの場合は先にハンドシェイクを行うため、IPの偽装は難しいor不可能なため、TCP 53でゾーン転送を行なっているならキャッシュポイズニングは成功しないと考えております。

そのため、なぜDNSキャッシュポイズニングが成功するのかわからなくなってしまいました。
上記の前提に間違いがあると思うのですが、どこに間違いがあるのか教えていただきたいです。

調べたら解決しました。
キャッシュサーバによる問い合わせ = UDP 53を利用
コンテンツサーバのゾーン転送 = TCP 53を利用
キャッシュサーバによる問い合わせに対してキャッシュポイズニングを行うため、キャッシュポイズニングは成功するって感じですね