DNS作为互联网最基础的组件之一，由于流量模式多样且通常不被网络管理员封锁，常被攻击者用于建立隐蔽通信通道（即DNS隧道），以实施命令与控制（C2）或企业未授权的VPN服务。现有检测方法大多依赖DNS查询序列的统计特征，本质上无法保证零数据泄露，且可通过将窃取数据分散到多个根域名来绕过。为此，本文提出TunTight，首个能够实现路径内单查询（in-path per-query）DNS隧道防御的系统。核心洞察是DNS隧道域在其权威名称服务器、域名使用模式和域名结构上具有独特特征。基于这些特征，作者定义并提取了一组特征，输入机器学习模型进行实时检测。为验证有效性，该系统被集成到一家大型安全厂商的企业防火墙产品的云后端中，在实际部署两个月期间，TunTight在首次查询时就成功检测到349个已确认隧道，误报和漏报极低。此外，作者还进行了首次大规模DNS隧道活动野外研究，发现企业网络中的大多数DNS隧道流量来自公共隧道工具和企业未授权VPN服务。本文的技术贡献在于：1）提出了一种全新的单查询级别防御思路，克服了统计方法依赖多查询序列的局限；2）通过实际产品部署证明了方法在真实环境中的高效性和低误报率；3）揭示了企业DNS隧道的真实生态。适合安全防御工程师、DNS安全研究人员及 SOC 分析师阅读。