今天分享的论文主题为：域名根服务器节点实际效用测量研究。论文作者来自于清华大学网络研究院。

近年来，我国政府机构加快引进部署域名系统根服务器节点。为量化评估我国互联网用户域名解析环节对境外根服务器节点的不合理依赖，论文提出了一种区分根服务器域名查询请求是否出境的方法。研究结果表明，我国境内部分根服务器节点实际作用范围有限，部分根域名查询请求仍然大量出境。针对上述发现，作者提出了针对性的改进建议。研究论文发表于网络测量领域重要会议 PAM 2022。

为了判断互联网用户域名解析过程是否依赖于境外的根服务器节点，一种直观的实验方法是：在国内主流运营商中选取地理位置分布均匀的实验观测点，并主动向域名根服务器（A 至 M）发起查询请求。依据域名解析交互时对端通信实体的地理位置属性（境内/境外），判断当前互联网用户是否需要依赖于境外的根服务器节点。

然而，由于当前根服务器运营管理机构普遍采用任播技术（Anycast），利用IP地址完全相同的主机在全球范围内广泛部署服务节点 [2]，上述实验将面临一个主要挑战：如何区分根服务器节点的地理位置属性。

为解决上述问题，在实验设计过程中，研究人员巧妙地利用我国国际网关所引入的侧信道信息（Side Channel）[3]。具体而言，研究人员选择实验观测点，模拟境内用户向13个根域名服务器（A至M）发起包含特定域名的查询请求，并分析域名应答响应报文中的资源记录。若资源记录源自于国际网关设备，则推测其出境；反之，则推测该查询请求未出境。

图表一：利用国际网关侧信道信息区分根域名查询请求是否出境

图表二：根服务器域名查询请求于境内解析的比例

（白色背景表示境内存在相应的根服务器节点）

研究人员还分析了各实验观测点的结果，进一步证实了我国境内引进部署的部分根服务器节点可能仅向特定网络用户提供服务。例如：

1. 内地F根服务器节点对所有位于电信的观测点提供服务，但不对位于联通、移动的观测点提供服务。

2. 内地J根服务器节点对所有位于联通的观测点提供服务，但不对位于电信、移动的观测点提供服务。

3. 内地K根服务器节点对所有位于电信、联通的观测点提供服务，但不对位于移动的观测点提供服务。

图表三：每个观测节点发起的根域名查询流量于内地解析的比例 （颜色越深，代表比例越高）

随后，研究人员同大型运营商及DNS根服务器的运营者进行了深入交流。最终确认了上述现象的背后原因：

1. 内地根节点通常部署于运营商网络内部，而不是位于网络交换节点；

2. 运营商网络之间的BGP路由策略受到限制。

因此，尽管内地已经引进部署了大量根节点，部分互联网用户的根域名查询请求流量仍会出境，请求可能会被路由至更远的海外根节点进行解析。

这项工作围绕中国境内域名根服务器节点的实际效用问题开展了测量研究，提出了一种分辨根域名查询请求是否出境的方法，发现了由于根服务器节点部署策略以及运营商BGP网络路由策略的限制，互联网用户发起的部分根域名查询请求流量仍然将出境解析。

基于上述研究方法，研究团队开发了“域名系统根服务器节点运行监测系统”，有助于网络运营商及时发现根服务器节点的运行异常。系统效果图如下。