该论文对2026年1月至5月间在VirusTotal（VT）上观察到的约152万个恶意域名进行了纵向研究。研究选取了至少被5个独立VT扫描引擎检测到、且首次出现在研究窗口内的域名。数据集被分为被攻陷域名和攻击者创建域名，后者约占89.3%。结合WHOIS注册记录、被动DNS（PDNS）数据与VT数据集，研究者从八个维度刻画了攻击者行为：时间分布、被攻陷与攻击者创建分类、首次检测时的域名年龄、注册商和顶级域名（TLD）偏好、DNS查询量（作为损害代理）、托管基础设施集中度（IP和ASN级别）、批量注册模式以及品牌仿冒。关键发现包括：大多数攻击者创建的域名寿命短，在创建后数周内被使用；少数注册商和TLD承载了大部分滥用；Cloudflare基础设施被广泛用于域名前端；涉及单个注册商一天内注册数千个域名的批量注册事件普遍存在；多个全球品牌（尤其是WhatsApp和Google）被大量仿冒。研究者将标注后的数据集公开在GitHub上以供进一步研究。

本文提出了一种名为DNSBomb的新型脉冲式拒绝服务（DoS）攻击。攻击者利用DNS协议中多个固有的良性机制（如超时、查询聚合、响应快速返回）将其转化为恶意攻击向量。具体而言，攻击者以低速率发送大量DNS查询，借助查询聚合和响应放大机制，使得所有DNS响应在短时间内汇聚成一个高强度的周期性脉冲信号，从而同时冲击目标系统。作者在10种主流DNS软件、46个公共DNS服务以及约180万个开放DNS解析器上进行了广泛评估，结果表明所有DNS解析器均可被利用来发起比以往脉冲DoS攻击更实用、更强大的DNSBomb攻击。小规模实验显示，峰值脉冲幅度可达8.7 Gb/s，带宽放大因子超过20,000倍。受控攻击导致了无状态和有状态连接（TCP、UDP、QUIC）的完全丢包或服务降级。此外，作者提出了有效的缓解方案并进行了详细评估。已向所有受影响厂商负责任地披露了发现，其中24家厂商已确认并正在修补其软件（如BIND、Unbound、PowerDNS、Knot），并分配了10个CVE编号。

该论文提出了一种利用 DNS 缓存定时攻击对用户行为进行连续监控的新方法。作者发现，攻击者可以通过测量 DNS 查询在本地 DNS 解析器（如公共 DNS 服务器或企业 DNS 缓存）中命中的时间差，推断出用户近期访问过的域名，从而构建用户的上网行为画像。由于 DNS 缓存通常具有较长的 TTL（生存时间），攻击者可以在数小时至数天内持续进行此类定时测量，且无需获得任何网络中间人地位（如 ARP 欺骗），仅需与目标用户共享一个子网或能发送定向的 DNS 探测包。论文详细描述了攻击的原理：通过向目标 DNS 解析器发送大量针对特定域名的查询，并测量响应时间，判断该域名是否已存在于缓存中（缓存命中则响应快，未命中则响应慢）。攻击者可以预先准备一个域名列表（如热门网站、敏感服务），通过轮询这些域名的缓存状态来监控用户何时访问过哪些站点。实验在真实网络中验证了该攻击的有效性，包括对不同公共 DNS 服务器（如 Google Public DNS 和 Cloudflare DNS）的测量，结果表明即使在存在网络延迟波动的情况下，攻击者仍能以高准确率（>90%）识别出用户最近访问的域名。此外，作者还讨论了防御措施，包括随机化 DNS 查询、缩短 TTL、使用 DNS over HTTPS（DoH）或 DNS over TLS（DoT）来混淆流量，但指出这些防御可能增加延迟或无法完全消除定时侧信道。

该论文重新审视了DNS安全领域中的区域隔离原则（Zone-Based Isolation），特别是针对Bailiwick检查的信任假设。传统上，DNS解析器依赖Bailiwick检查来防止跨区域数据污染，即确保只有与查询域名处于同一区域的授权服务器才能提供应答。然而，随着DNS架构的复杂化（如CNAME链、DNSSEC、CDN分发），该原则的有效性受到挑战。论文通过分析现有实现中的弱点，提出必须重新思考“我应该信任你吗？”这一核心问题，可能提出了新的信任评估模型或改进方案。实验部分或许展示了在真实网络场景下传统原则的失效案例。适合DNS安全研究员、协议开发者及安全运维人员阅读。