本文针对保护性 DNS（Protective DNS, PDNS）服务进行了大规模测量研究。PDNS 是一种新兴安全服务，通过主动重写 DNS 响应，将恶意域名解析到受控主机，从而阻止用户访问有害内容。然而，由于不同 PDNS 提供商的实现存在差异，安全社区对其部署状况、运行策略及安全影响缺乏系统性理解。为此，作者首先对 28 个主流 PDNS 提供商进行实证分析，归纳出 DNS 重写策略的主要格式。基于这些规则，设计了一套方法论，用于在真实环境中识别由开放 PDNS 服务器强制执行的意图性 DNS 重写。研究发现具有多面性：积极方面，PDNS 部署已初具规模——在探测的 DNS 服务器中识别出 17,601 台（占比 9.1%）提供此类服务；从客户端角度看，从普通 DNS 切换到 PDNS 仅引入可忽略的查询延迟，尽管服务器端需额外执行威胁情报检查及 DNS 重写步骤。然而，研究也揭示了 PDNS 实现中的缺陷与漏洞，包括对拦截策略的规避以及拒绝服务风险。通过负责任地披露漏洞，作者已收到 12 份高危漏洞审计评估结果。该研究呼吁为安全的 PDNS 操作制定适当的指导原则和最佳实践。

该论文针对移动通信生态系统中基础设施测量工具匮乏、地理覆盖不均以及商业复杂性等问题，提出了一套开放的、可扩展的、地理多样化的测量方法。研究指出，蜂窝网络作为全球通信骨干网，其架构创新（如VoIP、eSIM）和商业动态（如漫游、虚拟运营商、零费率）导致网络复杂度急剧上升，但缺乏独立的测量手段。此外，移动接入方式已不仅限于传统无线电接口，语音WiFi（VoWiFi）通过第三方互联网基础设施提供替代连接，而OTT消息服务（如WhatsApp、Signal）已承担大量全球消息和语音流量，完全绕过运营商控制。为应对这些挑战，作者设计、实现并开源了多个测量平台，支持对蜂窝无线电网络、运营商提供的服务以及OTT消息应用进行受控实验，不依赖网络或平台运营商的合作。实验涵盖全球多个地区，评估了关键基础设施的安全性、性能及隐私风险，并揭示了集中化趋势带来的新威胁。论文主要贡献包括：构建独立的测量框架、提供公开可用的数据集、以及提出改进当前通信生态系统安全性的建议。适合网络研究人员、安全分析师、政策制定者以及移动运营商工程师阅读。

本研究首次系统性地测量和分析了中国的DNS审查（即“防火长城”中的一部分）。作者开发了一套分布式测量方法，在全球多个位置部署探测点，针对数千个已知被屏蔽的域名以及随机域名进行DNS查询，并收集响应数据。通过分析DNS劫持、伪造的响应以及超时等异常现象，他们量化了审查的覆盖范围、准确性和延迟。研究发现，中国的DNS审查并非完美无缺：存在绕过手段（如使用境外DNS服务器），且审查策略在不同地区和时间段存在差异。论文还评估了审查对网络性能的影响，并讨论了审查机制的工作原理。核心贡献包括：一个大规模、长期运行的测量框架；对审查效果的定量评估；以及公开可用的数据集，供后续研究使用。适合网络安全研究人员、网络测量领域学者及关注互联网审查的从业者阅读。

该论文提出了一种名为OSAVRoute的新型非协作测量方法，用于检测网络中的出站源地址验证（Outbound Source Address Validation, OSAV）部署情况。OSAV是一种重要的网络安全机制，旨在防止源地址伪造攻击，但其实际部署比例一直缺乏有效的测量手段。现有方法多依赖协作式测量或仅针对入站方向，难以全面评估OSAV部署。OSAVRoute通过向目标网络发送精心构造的探测包，并分析返回流量特征，无需网络运营方协作即可推断OSAV策略。论文详细设计了探测方案和推断算法，并在全球多个网络中进行实验验证。结果表明，OSAVRoute能够准确识别OSAV部署状态，成功发现部分网络存在部署但未启用的情况。该工作为互联网源地址验证的测绘提供了新工具，有助于推动反伪造技术的普及。

本文研究了网络时间协议（NTP）池对垄断攻击的鲁棒性。NTP池是一个由志愿者提供的时间服务器集群，供全球设备同步时间。垄断攻击指某些恶意节点通过控制大量池成员来操纵时间响应，可能导致时间同步偏差，进而影响依赖精确时间的应用（如TLS证书验证、日志审计等）。作者通过大规模测量分析，评估了当前NTP池的拓扑结构、成员分布及治理机制，发现其在面临协同垄断攻击时存在脆弱性。具体而言，攻击者无需获取绝对多数节点，只需控制关键路径或地理区域内的足够节点即可造成影响。研究还提出了一些缓解措施，包括改进成员验证机制、增强监控和异常检测。该工作为NTP池的安全性提供了定量理解，对运维人员和协议设计师具有参考价值。