该论文提出了一种利用 DNS 缓存定时攻击对用户行为进行连续监控的新方法。作者发现，攻击者可以通过测量 DNS 查询在本地 DNS 解析器（如公共 DNS 服务器或企业 DNS 缓存）中命中的时间差，推断出用户近期访问过的域名，从而构建用户的上网行为画像。由于 DNS 缓存通常具有较长的 TTL（生存时间），攻击者可以在数小时至数天内持续进行此类定时测量，且无需获得任何网络中间人地位（如 ARP 欺骗），仅需与目标用户共享一个子网或能发送定向的 DNS 探测包。论文详细描述了攻击的原理：通过向目标 DNS 解析器发送大量针对特定域名的查询，并测量响应时间，判断该域名是否已存在于缓存中（缓存命中则响应快，未命中则响应慢）。攻击者可以预先准备一个域名列表（如热门网站、敏感服务），通过轮询这些域名的缓存状态来监控用户何时访问过哪些站点。实验在真实网络中验证了该攻击的有效性，包括对不同公共 DNS 服务器（如 Google Public DNS 和 Cloudflare DNS）的测量，结果表明即使在存在网络延迟波动的情况下，攻击者仍能以高准确率（>90%）识别出用户最近访问的域名。此外，作者还讨论了防御措施，包括随机化 DNS 查询、缩短 TTL、使用 DNS over HTTPS（DoH）或 DNS over TLS（DoT）来混淆流量，但指出这些防御可能增加延迟或无法完全消除定时侧信道。