系列研究成果：全网IPv4地址空间DoT递归解析服务测绘与画像分析技术研究

传统DNS协议明文传输，面临窃听及劫持等风险，在此背景下加密DNS技术逐渐兴起，其中IETF标准DoT协议通过建立TLS加密传输通道，实现DNS查询与响应全程加密，从而在一定程度上解决隐私泄露与劫持问题。

目前全网DoT实际部署规模、分布特征及解析行为仍然缺乏系统性测量分析。现有研究大多局限于对已知公共递归解析服务观测，难以反映全网整体情况；同时仅识别某个IP是否提供DoT服务，并不能回答更深层的问题，如该DoT服务实际递归链路、解析架构等等。

因此本研究构建了一套从全网DoT递归解析服务发现到行为分析的完整技术体系，不仅能够发现全网IPv4地址空间中的DoT服务，更能进一步对其递归解析行为特征进行分析，从而实现对互联网加密DNS生态进行更深入的刻画。

一、DoT服务器初步筛选

虽然可以直接通过DoT协议交互，遍历整个规模为40多亿的IPv4地址空间以发现DoT服务，但该做法耗时、浪费资源且没必要，可采取粗筛和细筛相结合方法，实现DoT递归解析服务的快速发现。首先从海量IPv4地址中快速筛选出可能存在DoT服务的候选地址，然后进一步基于DoT协议交互确认。为此，通过采用高性能快速扫描工具，对全网IPv4地址空间进行DoT服务端口TCP 853活跃探测。高性能快速扫描工具采用单包扫描与无状态设计，能够在极短时间内完成大规模扫描任务，扫描结果输出为一组“端口开放”的IP地址集合，这一集合构成了后续验证分析的候选地址池。

需要注意的是端口开放并不等同于DoT服务的存在。现实网络中TCP 853端口可能用于其他非DoT服务，因此该阶段的目标仅在于“尽可能完整地筛选出疑似DoT服务器”，而不对服务类型进行最终判定。即这一阶段解决的是“哪里可能存在DoT”，而非“哪里一定存在DoT”。

二、DoT协议级验证与服务确认

在获得候选地址池之后，需通过协议级验证进一步确认其是否真正提供DoT服务。DoT基于TLS协议进行，其通信过程包括TCP三次握手、TLS握手以及DNS报文交换三个关键阶段。

在验证过程中，客户端首先与目标IP建立TCP连接并发起TLS握手，通过验证证书链与握手过程判断服务是否支持加密通信，随后在TLS通道中构造标准DNS查询请求（如TXT记录查询），并将其发送至目标服务器。如果服务器返回有效的DNS响应报文，且响应与请求一致，则可以判定该节点为真实的DoT服务。

该阶段的核心作用在于过滤掉非DNS服务、非标准实现等，从而得到一组真实的DoT服务列表。通过这一过程，将原始候选集合进一步收敛，确保后续分析基于真实有效的DoT服务展开。

三、递归解析行为观测与画像构建

在完成DoT服务识别之后，可得到“是否存在DoT服务”的结果，然而对于互联网测量而言，更有价值的信息在于这些服务“在实际运行中如何工作”，尤其是其递归解析行为。

为此，本研究引入一个设计，使用配套权威服务器，能够在处理请求时记录分析解析行为。通过这一机制，可以实现对DoT服务器递归解析行为的“反向观测”。这种方法的关键价值在于，它突破了传统测量只能观测“入口”的限制，实现了对DNS递归解析行为的直接观测。

四、递归解析行为建模与分析

在获取到大量DoT服务器解析行为数据后，可以构建多维度递归画像模型。该模型不仅关注IP层面的关系，还可以进一步映射至地理位置，从而形成完整的全球视图。

在分析方法上，可以从多个角度展开。首先是服务分布，即DoT服务全球分布状况。其次还可以从架构角度对DoT进行分类，例如区分直连递归、分布式解析等架构。这些分析结果能够帮助理解DoT在实际互联网中的运行方式，而不仅仅是其协议层特征。

五、结语

本研究提出了一种面向全网IPv4地址空间的DoT递归解析服务测绘与画像分析技术。该技术通过结合快速扫描、协议级验证以及权威服务器，实现了从“发现DoT服务”到“理解DoT递归解析行为”的完整闭环，进而实现对全网DoT递归解析服务的系统性测绘，包括其规模、分布以及架构等等。

相较于传统测量方法，本研究的核心创新点一是实现DoT递归解析服务快速发现能力，二是引入递归解析行为观测能力，不仅可以看到“服务在哪里”，还可以进一步了解“服务怎么样”。这一能力对于深入理解加密递归现状及评估安全风险具有重要意义。

作者简介：

孙从友，中国互联网络信息中心工程师，主要研究方向为互联网基础资源测绘与分析。

邓桂英，中国互联网络信息中心工程师，主要研究方向为大数据挖掘与分析。

张立坤，中国互联网络信息中心高级工程师，主要研究方向为网络空间测绘、大数据分析。

刘永祥，中国互联网络信息中心高级工程师，主要研究方向为域名安全、DNS攻击防护及网络空间测绘。

王志洋，中国互联网络信息中心高级工程师，主要研究方向为智能信息处理。