傳統(tǒng)DNS協(xié)議明文傳輸，面臨竊聽及劫持等風(fēng)險(xiǎn)，在此背景下加密DNS技術(shù)逐漸興起，其中IETF標(biāo)準(zhǔn)DoT協(xié)議通過建立TLS加密傳輸通道，實(shí)現(xiàn)DNS查詢與響應(yīng)全程加密，從而在一定程度上解決隱私泄露與劫持問題。

目前全網(wǎng)DoT實(shí)際部署規(guī)模、分布特征及解析行為仍然缺乏系統(tǒng)性測(cè)量分析。現(xiàn)有研究大多局限于對(duì)已知公共遞歸解析服務(wù)觀測(cè)，難以反映全網(wǎng)整體情況；同時(shí)僅識(shí)別某個(gè)IP是否提供DoT服務(wù)，并不能回答更深層的問題，如該DoT服務(wù)實(shí)際遞歸鏈路、解析架構(gòu)等等。

因此本研究構(gòu)建了一套從全網(wǎng)DoT遞歸解析服務(wù)發(fā)現(xiàn)到行為分析的完整技術(shù)體系，不僅能夠發(fā)現(xiàn)全網(wǎng)IPv4地址空間中的DoT服務(wù)，更能進(jìn)一步對(duì)其遞歸解析行為特征進(jìn)行分析，從而實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)加密DNS生態(tài)進(jìn)行更深入的刻畫。

一、DoT服務(wù)器初步篩選

雖然可以直接通過DoT協(xié)議交互，遍歷整個(gè)規(guī)模為40多億的IPv4地址空間以發(fā)現(xiàn)DoT服務(wù)，但該做法耗時(shí)、浪費(fèi)資源且沒必要，可采取粗篩和細(xì)篩相結(jié)合方法，實(shí)現(xiàn)DoT遞歸解析服務(wù)的快速發(fā)現(xiàn)。首先從海量IPv4地址中快速篩選出可能存在DoT服務(wù)的候選地址，然后進(jìn)一步基于DoT協(xié)議交互確認(rèn)。為此，通過采用高性能快速掃描工具，對(duì)全網(wǎng)IPv4地址空間進(jìn)行DoT服務(wù)端口TCP 853活躍探測(cè)。高性能快速掃描工具采用單包掃描與無狀態(tài)設(shè)計(jì)，能夠在極短時(shí)間內(nèi)完成大規(guī)模掃描任務(wù)，掃描結(jié)果輸出為一組“端口開放”的IP地址集合，這一集合構(gòu)成了后續(xù)驗(yàn)證分析的候選地址池。

需要注意的是端口開放并不等同于DoT服務(wù)的存在。現(xiàn)實(shí)網(wǎng)絡(luò)中TCP 853端口可能用于其他非DoT服務(wù)，因此該階段的目標(biāo)僅在于“盡可能完整地篩選出疑似DoT服務(wù)器”，而不對(duì)服務(wù)類型進(jìn)行最終判定。即這一階段解決的是“哪里可能存在DoT”，而非“哪里一定存在DoT”。

二、DoT協(xié)議級(jí)驗(yàn)證與服務(wù)確認(rèn)

在獲得候選地址池之后，需通過協(xié)議級(jí)驗(yàn)證進(jìn)一步確認(rèn)其是否真正提供DoT服務(wù)。DoT基于TLS協(xié)議進(jìn)行，其通信過程包括TCP三次握手、TLS握手以及DNS報(bào)文交換三個(gè)關(guān)鍵階段。

在驗(yàn)證過程中，客戶端首先與目標(biāo)IP建立TCP連接并發(fā)起TLS握手，通過驗(yàn)證證書鏈與握手過程判斷服務(wù)是否支持加密通信，隨后在TLS通道中構(gòu)造標(biāo)準(zhǔn)DNS查詢請(qǐng)求（如TXT記錄查詢），并將其發(fā)送至目標(biāo)服務(wù)器。如果服務(wù)器返回有效的DNS響應(yīng)報(bào)文，且響應(yīng)與請(qǐng)求一致，則可以判定該節(jié)點(diǎn)為真實(shí)的DoT服務(wù)。

該階段的核心作用在于過濾掉非DNS服務(wù)、非標(biāo)準(zhǔn)實(shí)現(xiàn)等，從而得到一組真實(shí)的DoT服務(wù)列表。通過這一過程，將原始候選集合進(jìn)一步收斂，確保后續(xù)分析基于真實(shí)有效的DoT服務(wù)展開。

三、遞歸解析行為觀測(cè)與畫像構(gòu)建

在完成DoT服務(wù)識(shí)別之后，可得到“是否存在DoT服務(wù)”的結(jié)果，然而對(duì)于互聯(lián)網(wǎng)測(cè)量而言，更有價(jià)值的信息在于這些服務(wù)“在實(shí)際運(yùn)行中如何工作”，尤其是其遞歸解析行為。

為此，本研究引入一個(gè)設(shè)計(jì)，使用配套權(quán)威服務(wù)器，能夠在處理請(qǐng)求時(shí)記錄分析解析行為。通過這一機(jī)制，可以實(shí)現(xiàn)對(duì)DoT服務(wù)器遞歸解析行為的“反向觀測(cè)”。這種方法的關(guān)鍵價(jià)值在于，它突破了傳統(tǒng)測(cè)量只能觀測(cè)“入口”的限制，實(shí)現(xiàn)了對(duì)DNS遞歸解析行為的直接觀測(cè)。

四、遞歸解析行為建模與分析

在獲取到大量DoT服務(wù)器解析行為數(shù)據(jù)后，可以構(gòu)建多維度遞歸畫像模型。該模型不僅關(guān)注IP層面的關(guān)系，還可以進(jìn)一步映射至地理位置，從而形成完整的全球視圖。

在分析方法上，可以從多個(gè)角度展開。首先是服務(wù)分布，即DoT服務(wù)全球分布狀況。其次還可以從架構(gòu)角度對(duì)DoT進(jìn)行分類，例如區(qū)分直連遞歸、分布式解析等架構(gòu)。這些分析結(jié)果能夠幫助理解DoT在實(shí)際互聯(lián)網(wǎng)中的運(yùn)行方式，而不僅僅是其協(xié)議層特征。

五、結(jié)語

本研究提出了一種面向全網(wǎng)IPv4地址空間的DoT遞歸解析服務(wù)測(cè)繪與畫像分析技術(shù)。該技術(shù)通過結(jié)合快速掃描、協(xié)議級(jí)驗(yàn)證以及權(quán)威服務(wù)器，實(shí)現(xiàn)了從“發(fā)現(xiàn)DoT服務(wù)”到“理解DoT遞歸解析行為”的完整閉環(huán)，進(jìn)而實(shí)現(xiàn)對(duì)全網(wǎng)DoT遞歸解析服務(wù)的系統(tǒng)性測(cè)繪，包括其規(guī)模、分布以及架構(gòu)等等。

相較于傳統(tǒng)測(cè)量方法，本研究的核心創(chuàng)新點(diǎn)一是實(shí)現(xiàn)DoT遞歸解析服務(wù)快速發(fā)現(xiàn)能力，二是引入遞歸解析行為觀測(cè)能力，不僅可以看到“服務(wù)在哪里”，還可以進(jìn)一步了解“服務(wù)怎么樣”。這一能力對(duì)于深入理解加密遞歸現(xiàn)狀及評(píng)估安全風(fēng)險(xiǎn)具有重要意義。

作者簡(jiǎn)介：

孫從友，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心工程師，主要研究方向?yàn)榛ヂ?lián)網(wǎng)基礎(chǔ)資源測(cè)繪與分析。

鄧桂英，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心工程師，主要研究方向?yàn)榇髷?shù)據(jù)挖掘與分析。

張立坤，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)空間測(cè)繪、大數(shù)據(jù)分析。

劉永祥，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心高級(jí)工程師，主要研究方向?yàn)橛蛎踩NS攻擊防護(hù)及網(wǎng)絡(luò)空間測(cè)繪。

王志洋，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心高級(jí)工程師，主要研究方向?yàn)橹悄苄畔⑻幚怼?/span>