递归-权威侧部署加密DNS协议的隐私收益评估方法及测量分析

• Published in: 网络与信息安全学报 Vol. 10; no. 5; pp. 71 - 80
• Main Authors: 段丽莹, 李瑞烜, 刘西蒙, 邵俊, 刘保君
• Format: Journal Article
• Language: Chinese
• Published: 福州大学计算机与大数据学院,福建 福州 350108%清华大学网络科学与网络空间研究院,北京 100084%浙江工商大学计算机科学与技术学院,浙江 杭州 310018 2024
• Subjects: internet measurement; privacy protection; 互联网测量; encrypted DNS; domain name system; 隐私保护; 加密DNS; 域名系统
• ISSN: 2096-109X
• DOI: 10.11959/j.issn.2096-109x.2024067

TP393; 加密DNS协议最初被设计用于保护用户和递归解析器之间(用户-递归侧)的DNS通信隐私.目前,加密DNS协议获得了广泛应用.然而,递归解析器和权威服务器之间(递归-权威侧)的DNS通信仍遭受着大量隐私威胁.历经4年的标准化进程,互联网工程任务组在2024年2月正式发布RFC 9539,提出可利用加密DNS协议来保障递归-权威侧的DNS通信隐私.聚焦于在递归-权威侧部署加密DNS协议所带来的隐私收益,提出评估互联网域名隐私收益的方法.针对243万个流行域名和4万个敏感域名,结合1 058个顶级域名的区域文件,分析权威服务器所托管的域名数量,从而判定目标域名的隐私收益等级.测量结果表明,超过90%的域名可获得递归-权威侧部署加密DNS协议的隐私保护,但是6.28%的敏感域名无法从递归-权威侧部署加密DNS协议中获得隐私收益.此外,一些高流行度的域名也没有获得足够的隐私收益.相较于大型域名托管商,小型域名托管商可为域名提供更高的隐私收益.将域名部署于仅托管单个域名的权威服务器上会极大地损害递归-权威侧加密DNS协议的隐私保护效果,管理人员应重新审视域名托管服务.