什么是 DNS 泄漏?
当你使用 VPN 时,理想情况下所有网络请求(包括 DNS 查询)都应该通过 VPN 隧道,使用 VPN 服务商的 DNS 服务器。
但如果设备的 DNS 查询绕过了 VPN 隧道,直接发往你 ISP(互联网服务提供商)的 DNS 服务器,这就是 DNS 泄漏。泄漏的后果:
- 你的 ISP 知道你访问了哪些网站(即使连着 VPN)
- 你的真实位置可能被推断出来(通过 ISP DNS 服务器的地理位置)
- 网站可以看到你的真实 DNS 请求来源
为什么会发生 DNS 泄漏?
- 操作系统 DNS 缓存:Windows 和 macOS 有 DNS 缓存机制,VPN 连接后可能仍使用旧的 DNS 设置
- IPv6 泄漏:部分 VPN 只处理 IPv4 流量,IPv6 的 DNS 查询仍走默认网络
- VPN 配置问题:VPN 客户端配置不当,未强制所有 DNS 流量走 VPN
- 智能多宿主名称解析:Windows 的 SMHNR 功能会同时向多个 DNS 服务器发送查询,即使 VPN 开启
- 浏览器内置 DNS:Chrome 等浏览器的 DNS-over-HTTPS 功能可能绕过系统 DNS 设置
如何检测 DNS 泄漏
使用 tool.tl 的 DNS 泄漏测试工具:
- 访问 tool.tl/dns-leak-test
- 点击开始测试(建议在 VPN 连接状态下测试)
- 工具显示你的 DNS 查询实际使用了哪些 DNS 服务器
- 如果显示的是你 ISP 的 DNS 服务器,说明存在 DNS 泄漏
- 如果显示的是 VPN 服务商的 DNS 服务器,说明没有泄漏
如何修复 DNS 泄漏
- 换用可靠的 VPN 客户端:选择有 DNS 泄漏保护功能的 VPN(如 ExpressVPN、NordVPN、Mullvad),这类 VPN 会强制所有 DNS 查询走 VPN 隧道
- 手动设置 DNS 服务器:将系统 DNS 设置为知名的隐私友好 DNS,如 Cloudflare (1.1.1.1) 或 Google (8.8.8.8)
- 启用 DNS-over-HTTPS(DoH):在浏览器或系统层面启用 DoH,加密 DNS 查询,防止 ISP 监听
- 禁用 IPv6(如 VPN 不支持 IPv6):临时禁用 IPv6 可防止 IPv6 DNS 泄漏
DNS 泄漏 vs WebRTC 泄漏
除了 DNS 泄漏,VPN 用户还需要注意 WebRTC 泄漏:
- DNS 泄漏:DNS 查询绕过 VPN,暴露访问的网站信息
- WebRTC 泄漏:浏览器的 WebRTC 协议可能暴露你的真实 IP 地址(即使使用 VPN)
可以用 tool.tl 的 WebRTC 泄漏测试同步检查。
常见问题
使用 VPN 后 DNS 泄漏测试显示我的 ISP DNS,怎么办?
说明你的 VPN 存在 DNS 泄漏问题。解决方案:1)在 VPN 设置中启用 DNS 泄漏保护选项;2)将系统 DNS 手动改为 1.1.1.1 或 8.8.8.8;3)换用有完善 DNS 泄漏保护的 VPN 服务商。
没有 VPN 进行 DNS 泄漏测试有意义吗?
有一定意义——可以确认你当前的 DNS 服务器是什么(默认通常是 ISP 的 DNS)。如果你希望提升隐私,可以将 DNS 改为 Cloudflare 1.1.1.1(隐私优先,速度快)。
工具是免费的吗?
是的,tool.tl 的 DNS 泄漏测试完全免费,无需注册,即时显示结果。