被动观察
ISP、热点、公司出口、同网段攻击者可基于查询域名做画像:兴趣、工作内容、所用服务。
BASICS
基础与威胁模型
先把“DNS 会泄露什么”和“攻击者在哪一层看得到你”讲清楚,再谈协议选型才有意义。
DNS 泄露的不是“域名”,而是“意图”
域名查询是访问行为的高质量特征数据:它比 IP 更稳定,比 URL 更易聚合。
主动干预
通过投毒/劫持/注入,把你导向伪造站点或恶意基础设施,影响可用性与安全性。
常见攻击面
把问题拆成链路上的节点,你就能判断“加密 DNS 能挡住谁”。
| 位置 | 能看到什么 | 可能做什么 |
|---|---|---|
| 本地网络/热点 | 明文 DNS 查询与响应 | 劫持、注入、阻断、重定向 |
| 出口/ISP | 大量聚合后的 DNS 画像 | 审查、统计、商业画像 |
| 递归解析服务商 | 最完整的查询视角 | 日志留存、策略过滤、风险检测 |
加密 DNS 能解决什么 / 不能解决什么
明确边界才能避免“过度期待”。
能解决
保护终端到递归解析器之间的 DNS 查询不被链路中间节点直接读取或篡改。
不能解决
无法自动隐藏你访问的 IP、TLS SNI/ESNI 之外的指纹,也无法替代终端安全与 HTTPS。
深入阅读
如果你要做真实环境的方案评审,建议继续阅读下方文章。
威胁模型深挖
包含资产识别、对手能力分层、攻击路径建模与防护优先级排序模板。