DNS泄漏测试:如何检查和修复DNS泄漏
你的 VPN 可以显示一个位于其他国家的干净 IP 地址,同时悄悄地将你访问过的所有网站列表发送给你的互联网服务提供商。这种漏洞有一个专门的名称:DNS 泄漏。虽然挂锁图标看起来是关闭的,流量看起来也是私密的,但将域名转换为地址的查询却以明文形式泄露出去。快速进行 DNS 泄漏测试是判断你是否遇到这种情况的唯一方法,大多数第一次进行测试的人都会对结果感到惊讶。
本指南解释了什么是 DNS 泄漏,如何在三十秒内检查 DNS 泄漏,如何修复导致泄漏的根本原因,以及为什么持有加密货币的风险更高。最后一点,几乎没有其他指南会详细解释。
什么是 DNS 泄漏?泄漏的内容是什么?
把域名系统想象成互联网的电话簿。你输入一个域名,你的设备发出一个简单的DNS请求,DNS服务器返回匹配的IP地址。很简单。但当这个查找过程偏离了正确的路径时,就会发生泄露。查询没有通过加密的VPN隧道发送到VPN自身的解析器,而是溜到你的ISP的DNS服务器,而且通常是以明文形式发送。
电影里那种“被偷”的东西并不存在。泄露的是元数据:你尝试访问的网站列表,与你的真实IP地址关联起来。这就足够了。通过这种方式使用DNS,你的ISP无需读取你实际流量的任何字节,就能知道你在周二上午11:47打开了某个交易所、钱包服务或新闻页面。每次你访问网站,查询都必须解析到某个地方,而问题就出在某个地方。令人不安的是:这种泄露更像是网络的默认设置,而非罕见的故障。根据Cloudflare Radar的数据,截至2026年2月,全球约86.6%的DNS查询仍然以明文未加密的UDP格式传输。加密DNS是例外,而非普遍情况。
DNS泄漏的成因:IPv6、WebRTC、路由器
大多数泄露并非高明的攻击,而是VPN从未完全覆盖的普通操作系统行为。绝大多数测试失败都归因于以下三个原因。
IPv6 和你的 VPN 忘记的漏洞
这就是DNS泄漏的幕后黑手。许多VPN的设计初衷是隧道传输IPv4流量,而将IPv6视为其他问题。因此,如果你的操作系统启用了IPv6,而VPN只抓取IPv4流量,那么这些IPv6 DNS查询就会直接穿过隧道泄露出去。这并非假设。Cho和Heidemann在ACM IMC会议上发表的一篇同行评审研究(发表于2025年)发现,12款商用VPN在其仅使用IPv4的用户中,有5%到57%的用户存在IPv6流量泄漏。多年来,VPN一直标榜“IPv6泄漏保护”,但泄漏仍然存在于数据中。
您的网络服务提供商 (ISP) 进行透明的 DNS 劫持。
有些网络服务提供商 (ISP) 会拦截所有从您网络 53 端口发出的 DNS 请求,并将其强制发送到他们自己的解析器,无论您设置了哪个服务器。这就是所谓的透明 DNS 劫持。运行泄漏测试,您会发现即使您配置了不同的解析器,ISP 的解析器仍然会发出请求。Windows 系统通过两种方式加剧了这种情况:智能多宿主名称解析 (SMHNR) 会同时从每个网络适配器发出 DNS 查询;而 Teredo 是一种 IPv6 隧道服务,它会悄悄地绕过 VPN 建立第二条路径。
浏览器和 WebRTC 泄漏
WebRTC是浏览器支持实时音频和视频通话的功能。它很方便,但也可能通过直接连接请求暴露您的本地和公共 IP 地址,完全绕过 DNS 解析。严格来说,这并非 DNS 泄漏。但一个好的 DNS 泄漏测试仍然会检查这一点,因为结果是一样的:您的真实地址最终都会被显示出来。这种潜在的问题究竟有多普遍?澳大利亚联邦科学与工业研究组织 (CSIRO) 和麦考瑞大学在 2016 年进行的一项研究(尽管年代较早,但仍被广泛引用)调查了 283 款安卓 VPN 应用,发现其中 66% 的应用存在 DNS 流量泄漏,84% 的应用从未通过 VPN 隧道路由 IPv6 流量。该研究成果已发表在 2016 年 ACM IMC 会议论文集中。九年过去了,这些数据仍然没有被推翻。
如何运行免费的 DNS 泄漏测试并阅读结果
运行测试很简单,难点在于解读测试结果。连接你的 VPN,在浏览器中打开一个免费的 DNS 泄漏测试页面,然后运行标准测试和扩展测试。几秒钟后,你会看到一个 DNS 解析器列表,其中列出了所有响应的解析器,每个解析器都附带所有者和位置信息。现在唯一重要的问题是:这些解析器属于你的 VPN,还是属于你的 ISP 或 Google?
运行两次。第一次在 VPN 关闭的情况下进行 DNS 泄漏测试,这样你就能知道你的 ISP 解析器在实际运行中是什么样子;第二次在 VPN 连接的情况下进行测试。如果两次测试都显示相同的 ISP 服务器,那么这就是泄漏点,显而易见。如果两次测试都只显示 VPN 解析器,那么你的 DNS 就没问题,至少在下次重启之前是这样。
| 测试结果显示 | 判决 | 该怎么办 |
|---|---|---|
| 仅您的 VPN 的 DNS 服务器 | 无泄漏 | 没问题;更新后重新测试。 |
| 您的 ISP 解析器出现 | DNS 泄漏 | 请先解决以下问题,然后再信任隧道。 |
| Google 或您未设置的第三方解析器 | 部分泄漏 | 手动设置 DNS;检查路由器配置 |
| 与 IPv4 服务器不同的 IPv6 服务器 | IPv6 泄露 | 禁用 IPv6 或使用 VPN 隧道传输 IPv6 数据。 |
| 您的真实 IP 地址将显示在 WebRTC 字段中 | WebRTC 泄露 | 在浏览器中禁用 WebRTC |
为什么 DNS 泄漏对加密隐私至关重要
这是VPN评测网站常常忽略的部分。对于加密货币用户来说,DNS泄漏比对普通用户更为严重,因为它弥补了链上监控本身无法跨越的鸿沟:你的网络身份和你的钱包之间的联系。
将您的 IP 地址与钱包关联
区块链分析公司非常擅长对地址进行聚类和追踪资金流向。但如果没有链下线索,他们很难将某个地址与真实身份关联起来。DNS 泄漏恰恰提供了这样的线索。如果你的设备泄露了对钱包域名、区块浏览器网站或节点 RPC 端点的查询,并且这些查询携带了你的真实 IP 地址和时间戳,那么观察者就可以将网络踪迹与同一时刻发生的链上活动关联起来。
交易所登录信息和 KYC 相关性
这是最危险的漏洞。当你登录中心化交易所时,你的设备会查询该交易所的域名。如果查询泄露给你的网络服务提供商 (ISP),你的真实 IP 地址就会被记录下来。你的交易所已经通过 KYC 验证了你的身份。现在,第三方可以将你的身份与 VPN 本应隐藏的会话关联起来。购买和处理此类关联信息的区块链分析行业在 2025 年的市值达到 29.9 亿美元,预计每年增长 22%。与此同时,Chainalysis 在其《加密犯罪报告》中预测,2025 年非法加密货币的交易量将达到 1540 亿美元——这是一个充满诱惑力的市场,他们会竭尽所能地将所有线索串联起来。
DNS 轨迹揭示了你的哪些信息
即使不了解你的流量内容,你解析的域名列表本身就是一个行为指纹。它能揭示你访问了哪些交易所、哪些钱包、哪些 DeFi 前端,访问顺序如何,以及访问时间。美国监管机构已经证实了他们对这类数据的需求:美国联邦贸易委员会 (FTC) 2021 年的一份工作人员报告指出,所有六家美国主要互联网服务提供商(ISP) 都在记录DNS 查询和浏览数据。公平地说,目前还没有任何公开的法庭案例将加密货币去匿名化仅仅归咎于 DNS 泄露。虽然这种能力已被充分证实,但缺乏确凿的证据进行起诉。因此,我并不认为这种情况会一直持续下去。
如何防止所有设备上的 DNS 泄漏
好消息:解决方法很简单,只需几个步骤,无需耗费太多精力。根据测试结果选择合适的调节杆,而不是出于恐慌而尝试全部六个。实际上,大多数人只需要两个,最多三个就够了。
修复 Windows 和 macOS 上的 DNS 泄漏
在 Windows 系统中,常见的罪魁祸首是智能多宿主名称解析 (SMNR) 和 Teredo 网卡。禁用它们。然后将静态 DNS 服务器绑定到当前活动的网卡上。在 macOS 系统中,操作相对简单:在网络设置中手动设置 DNS,然后使用 `sudo dscacheutil -flushcache` 命令清除缓存。无论哪种方式,重新连接网络并再次运行 DNS 泄漏测试。解析器列表是否只显示您的 VPN?如果是,则说明泄漏源位于协议栈的更底层。如果您的旧 ISP 服务器仍然存在,则泄漏可能来自协议栈的更底层。
锁定您的路由器和 IPv6
你的 VPN 拒绝使用 IPv6 隧道吗?那就从操作系统层面关闭 IPv6,这样查询就没有第二条路径可走了。别忘了路由器。如果路由器本身仍然指向你的 ISP 的 DNS 服务器,那么泄露的流量只会向上游转移一跳,而你精心修复的设备层面问题却会悄无声息地掩盖真相。将路由器配置为使用你信任的解析器,那么所有连接到路由器的手机、笔记本电脑和游戏主机都会自动继承这个设置。
VPN 设置和 DNS 泄漏保护
打开你的 VPN 客户端,检查三个开关:使用自有 DNS 服务器、DNS 泄漏保护已开启、终止开关已开启。后两项功能并不相同,这常常让用户感到困惑。终止开关会在加密隧道断开时立即切断你的流量。DNS 泄漏保护则会在加密隧道仍然连接时强制你的查询通过该隧道返回。你需要同时启用这两项功能。而且,你一定要仔细检查这些设置,因为“默认安全”只是一句营销口号,并非真正的承诺。
| 原因 | 你在测试中看到的内容 | 使固定 | 在哪里 |
|---|---|---|---|
| IPv6 泄露 | IPv6 解析器与 IPv4 解析器有所不同。 | 禁用 IPv6 或切换 VPN | 操作系统/VPN |
| ISP劫持 | 尽管手动 DNS 解析器仍能解析 ISP 解析器。 | 设置加密 DNS(DoH 或 DoT) | 操作系统/路由器 |
| Windows SMHNR 或 Teredo | 多个解析器,其中一个是互联网服务提供商 (ISP)。 | 禁用 SMHNR 和 Teredo | 视窗 |
| 路由器使用 ISP DNS | 所有设备都出现同样的泄漏。 | 手动设置路由器 DNS | 路由器 |
| WebRTC暴露 | WebRTC 领域中的真实 IP | 禁用 WebRTC | 浏览器 |
选择不会泄露信息的 DNS 服务器
通过 DNS 泄漏测试只是成功的一半。解析器指向的位置与隧道本身同样重要,因为即使 DNS 服务商使用日志记录,本质上仍然是在监视用户,只不过换了个更友好的标志而已。Cloudflare 使用 1.1.1.1,Quad9 使用 9.9.9.9,Google 使用 8.8.8.8。同样的工作,不同的日志记录策略。所以务必仔细阅读他们的策略。盲目地选择论坛帖子推荐的服务商,最终只会落得“零泄漏”却依然被追踪的下场。
然后对查询本身进行加密。DNS over HTTPS (DoH) 和 DNS over TLS (DoT) 都会对查询进行封装,这样你的 ISP 就无法读取或在传输过程中劫持它。然而,几乎没人这么做。在 2019 年初期,加密传输仅处理了约 11.3% 的 DNS 查询,而端到端 DNSSEC 验证在第一季度仅占 0.47%(几乎可以忽略不计)。只需一个设置。稍作调整,你就能悄然加入一个规模虽小但防御能力更强的少数派。
你的VPN真的能阻止DNS泄漏吗?
请将“DNS泄漏保护”复选框视为一种声明,而非保证。2016年的基准泄漏率在2025年的最新研究中仍然出现,这表明问题根源在于这些客户端的构建方式,而非行业悄悄修复的漏洞。VPN的使用虽然普遍,但远非普及:根据Security.org的数据,2025年只有32%的美国成年人表示使用VPN,较前一年的46%大幅下降。因此,这条规则虽然枯燥,但行之有效。在安装VPN当天运行DNS泄漏测试,每次操作系统重大更新后也运行一次,并且在凌晨3点客户端在你未注意时自动重新连接时也运行一次。
现在该如何处理你的 DNS 泄漏测试?
泄露 DNS 信息的 VPN 就像一个明目张胆撒谎的隐私工具,而揭穿它谎言的唯一方法就是仔细检查。所以,请仔细检查。现在就运行测试,分别在 VPN 关闭和开启状态下运行两次。修复唯一暴露出来的问题,将你的设备指向一个你仔细阅读过其策略的加密解析器,并在下次更新后重新测试。如果你持有加密设备,请将 DNS 路径视为威胁模型的一部分,而不是事后才考虑的因素,因为在这里,泄露的衡量标准是关联的身份,而不仅仅是浏览历史记录。还有一个值得思考的问题:如果你的设备一直存在泄露问题,你的 ISP 已经记录了什么?
