所有指南

什么是 DNS 泄漏?如何在 VPN 上检测并修复它

DNS 泄漏发生在你的设备将域名查询发送到加密的 VPN 隧道之外、直接发给你的互联网服务商时。即便已连接 VPN,这也会悄悄暴露你访问了哪些网站。理解这种泄漏有助于你堵住它。

DNS 查询究竟做了什么

每当你打开一个网站,你的设备都会请求一台 DNS 服务器,将人类可读的名称(比如 example.com)翻译成 IP 地址。这些查询就像一本记录你网上足迹的日记。谁应答你的 DNS 查询,谁就能实时看到你所请求的全部域名列表。

为什么泄漏会在 VPN 上暴露你

VPN 本应将你的流量和 DNS 查询都通过其加密隧道发送。DNS 泄漏意味着这些查询逃出了隧道,转而抵达你的 ISP 的默认解析器。你的流量看起来或许是私密的,但你的服务商仍会记录你访问的每一个域名,这在很大程度上让 VPN 失去了意义。

DNS 泄漏的常见成因

泄漏通常源于操作系统忽略了 VPN 的 DNS 设置,转而退回到某个硬编码的解析器。配置错误的网络、绕过仅支持 IPv4 隧道的 IPv6 流量,以及分流隧道规则都是常见的罪魁祸首。突然的网络切换,比如从 Wi-Fi 切到移动数据,也可能把 DNS 重置回服务商的默认值。

如何预防 DNS 泄漏

使用一款强制所有 DNS 都走其自有加密解析器并阻止回退的 VPN。启用断网保护开关,这样一旦隧道断开,流量就会停止。如果 VPN 不支持 IPv6,就将其禁用;并避免手动设置绕过隧道的公共 DNS。一款设计良好的应用会自动处理其中的大部分事项。

如何测试 DNS 泄漏

连接你的 VPN,然后访问 dnsleaktest.com 之类的 DNS 泄漏测试网站,运行扩展测试。结果会列出处理你查询的每一台解析器。如果你看到的是自己的 ISP 或你真实的国家,而非 VPN 的服务器,那就说明存在泄漏。每次网络变动后都重新测试,以确保万无一失。

Veepen 将你的 DNS 通过与流量相同的 V2Ray/Xray 加密隧道进行路由,因此查询绝不会外泄给你的 ISP。在 Android 或 Android TV 上安装 Veepen,从 @veepen_vpn 导入一份 VLESS Reality 配置,一键连接。