文章总结： Bitdefender研究揭示通过分析DNS请求可低成本高精度追踪智能手机。团队处理近10亿条数据，利用TF-IDF算法实现超90%的识别准确率，且构建系统成本仅需月3000美元。研究表明现有MAC随机化防护不足，即使数据缺失仍可有效追踪。针对此风险，建议实施激进MAC随机化、启用加密DNS或使用代理混淆指纹，以应对日益严峻的隐私泄露与定向攻击威胁。 综合评分： 90 文章分类： 威胁情报,移动安全,数据安全,漏洞分析

用DNS追踪你的手机，这事有多简单？

幻泉之洲

2026年3月16日 12:24 北京

Bitdefender安全研究员的研究揭示了一个令人不安的现实：仅仅通过分析联网设备发出的DNS请求，就可以低成本、高精度地追踪和识别特定智能手机。这项研究处理了来自3万台设备的近10亿条DNS数据，发现即使在隐私保护措施下，设备识别准确率也能轻易超过90%。

想象一下，你的手机只要连上网，它发出的每一个“问路”请求——也就是DNS查询——都可能成为别人追踪你的线索。这不是科幻电影，而是Bitdefender的安全研究员近期在Black Hat大会上展示的真实研究成果。

初衷：从安全研究到追踪实验

说实话，研究团队一开始并没想搞“追踪”。他们的本意是改进家长控制和垃圾邮件过滤这类基础安全技术。但在分析网络流量时，他们发现了一个有趣的现象：设备发出的DNS请求，肉眼就能看出重复的序列和固定模式。

“我们能看到相同的DNS请求、相同的序列，”研究员Ianga Bela解释，“于是我们想，既然能看到这些重复出现的‘指纹’，那是不是能给设备建个模型，然后跨网络识别它呢？”

随着思考的深入，他们意识到这事理论上可行，但没人系统地干过。于是，他们决定试试。

在做之前，他们先回头看了看隐私保护的大环境。GDPR、各种新法规层出不穷，大家好像都挺紧张自己的数据。MAC地址随机化算是一道防线，它能给设备临时生成一个新标识，增加追踪难度。但问题在于，很多设备在连接同一个网络时，用的还是同一个MAC地址。而且，只要有足够时间聚合同一标识下的DNS请求，防线就可能被突破。

另一项技术是加密DNS（如DoH/DoT），它确实能防止同网络内的窃听。但这技术还没普及。关键在于，你只是把请求从本地运营商，交给了另一个远端的DNS解析器，它同样可能扮演“偷窥者”的角色。

信任问题随之而来。研究员直言：“我们能信任运营商不去滥用数据吗？回顾过去，很遗憾，我们多次看到运营商把数据交给政府、投放精准广告，这些事没经过用户明确同意。如果我们预测未来，可以说诱惑仍然存在，滥用仍可能发生。”

数据规模：一场“海量”实验

为了模拟一个“好奇的”DNS解析器，研究团队动用了Bitdefender自家的DNS基础设施。在进行了必要的匿名化处理后（比如哈希处理设备标识符），他们录入了大约3万台设备的事件，时间跨度约35天。

最终的数据量令人咋舌：9.85亿条DNS事件记录。处理这些数据，他们用了四个计算集群，总计80个vCPU和1.5TB内存。

从数据分布看，iOS设备的请求主要来自美国，而Android设备的来源国更少，集中在法国和美国。但无论哪个平台，请求都来自全球。

一个明显的区别是，iOS设备产生的DNS请求总量，远高于Android设备。从高频域名来看，Facebook、YouTube和搜索引擎是共通的。但iOS会大量请求苹果相关域名，Android则更关注谷歌和流行平台。

核心发现：DNS“指纹”清晰可辨

分析这些海量数据，第一步是把非结构化的文本（域名）变成算法能懂的数字。常用的编码方法（如独热编码）在这里都面临维度灾难或冲突问题。

团队灵机一动：为什么不把DNS请求序列看成一句话，把每个域名看成一个单词？

于是他们引入了自然语言处理领域的经典工具：TF-IDF（词频-逆文档频率）。简单说，它能量化一个“词”（域名）在单条“文档”（设备轨迹）中的重要性，同时降低在所有设备中都常见的“词”（如google.com）的权重。这样一来，那些小众、但被特定设备频繁访问的域名，就成了设备的强识别特征。

有了数值化的“设备轨迹”，下一步就是比对。他们选择了余弦相似度作为度量标准，因为它擅长处理高维稀疏数据（想象一下成千上万个域名构成的向量）。

真正的挑战是规模。仅加载全部3万台设备的数据就需要几十GB内存。他们得把设备分批处理，每批200到5000台。

问题的核心被简化成一个“相似性矩阵”：矩阵中的每个点代表两条DNS轨迹的相似度。理想情况下，同一设备在不同时间的轨迹应该高度相似（矩阵对角线上是亮色），而不同设备的轨迹应该差异明显（其他位置颜色暗淡）。

实际情况正是如此。他们定义了一个“追踪指数”，由设备自身的“自相似度”减去与其他设备的“最大共相似度”得出。如果结果是正数，说明这台设备能从“设备池”里被清晰地挑出来。

结果惊人：廉价且高效

实验结果显示，追踪的准确性高得有点吓人。

在第一批250台设备（包括iOS、Android及混合）的测试中，随着数据聚合时间的增长，准确率迅速攀升。两小时后，准确率就超过了80%，最高能达到96%。这意味着，只要设备用同一个标识符（如随机化MAC地址）在线时间够长，生成的DNS痕迹够多，它被揪出来的可能性就非常大。

那么，设备数量多了会怎样？在5000台设备的大池子里，识别难度确实增加了。但即便如此，聚合24小时的数据后，准确率依然能超过90%。

“所以，是的，设备越多，追踪精度会降低，”研究员总结，“但时间是个非常关键的因素。你在线时间越长，留下的痕迹越多，精度就越高。”

研究团队还尝试了更“时髦”的方法——机器学习。他们使用了长短期记忆网络（LSTM），一种擅长处理时间序列的神经网络。经过繁琐的调参和模型搜索，最好的LSTM模型在两个操作系统上都达到了约96%的测试准确率。

但代价巨大：为每个操作系统训练包含2500台设备的模型，在iOS上消耗了约280GB内存，在Android上消耗了190GB，总共用了两个计算集群、64个vCPU，跑了9天。

相比之下，基于TF-IDF和余弦相似度的统计方法，虽然准确率可能略低一点，但速度快、资源消耗少得多。这里存在一个明显的权衡：是要极高的准确率配上巨大的算力开销，还是要一个“足够好”且经济实惠的方案？

成本与对策：每月3000美元就能干

最让人不安的或许是成本。研究员估算，利用最便宜的云服务，构建这样一套能够准确追踪用户设备的系统，每月成本最低只需3000美元左右。“几乎任何拥有基本资源的人都能做到。”

更绝的是，他们发现甚至不需要完整的DNS请求记录。通过随机丢弃请求来模拟数据丢失，他们发现即使丢弃20%的请求，追踪准确性也几乎不变。丢弃高达80%的请求后，设备仍然有相当大的可能被检测到。这意味着攻击者或追踪者可以大幅节省存储和计算成本。

这项研究带来的远不止追踪风险。有了精准的设备画像，用户还可能暴露于定向广告、针对性钓鱼攻击等其他威胁之下。研究团队甚至尝试用这些DNS画像来检测用户行为的重大变化（比如安装新应用、改变浏览习惯），效果显著。

那么，怎么办？

研究员建议：立即实施MAC地址随机化，并且考虑更激进的随机化频率。启用加密DNS（如DoT/DoH）也是个好办法，虽然它只是把信任从本地转移到了远端服务器。

对于技术人员，可以使用DNS代理或对DNS请求进行聚合以混淆指纹。对于安全服务提供商，则需要透明地告知用户DNS数据的收集目的，并承诺不长期存储、进行匿名化处理。

说到底，DNS是互联网的基石，很多安全服务也离不开它。完全拒绝它不现实。这项研究更像是一记警钟：在一个连“问路”请求都可能出卖你的时代，隐私保护需要更细致、更前瞻的思考，而不能仅仅依赖于那些看起来很美、但实际漏洞百出的“随机化”功能。

当你下次打开手机Wi-Fi，看到那个“使用随机MAC地址”的选项时，你可能需要知道，它提供的保护，或许没有你想象的那么坚固。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《用DNS追踪你的手机，这事有多简单？》