本文针对保护性 DNS（Protective DNS, PDNS）服务进行了大规模测量研究。PDNS 是一种新兴安全服务，通过主动重写 DNS 响应，将恶意域名解析到受控主机，从而阻止用户访问有害内容。然而，由于不同 PDNS 提供商的实现存在差异，安全社区对其部署状况、运行策略及安全影响缺乏系统性理解。为此，作者首先对 28 个主流 PDNS 提供商进行实证分析，归纳出 DNS 重写策略的主要格式。基于这些规则，设计了一套方法论，用于在真实环境中识别由开放 PDNS 服务器强制执行的意图性 DNS 重写。研究发现具有多面性：积极方面，PDNS 部署已初具规模——在探测的 DNS 服务器中识别出 17,601 台（占比 9.1%）提供此类服务；从客户端角度看，从普通 DNS 切换到 PDNS 仅引入可忽略的查询延迟，尽管服务器端需额外执行威胁情报检查及 DNS 重写步骤。然而，研究也揭示了 PDNS 实现中的缺陷与漏洞，包括对拦截策略的规避以及拒绝服务风险。通过负责任地披露漏洞，作者已收到 12 份高危漏洞审计评估结果。该研究呼吁为安全的 PDNS 操作制定适当的指导原则和最佳实践。