DNS 泄露检测
检测 VPN 是否泄露 DNS 查询,识别暴露的解析器。
什么是 DNS 泄露
DNS 用于把域名解析为 IP。若 DNS 请求绕过 VPN,就会暴露访问意图。
即使公网 IP 已隐藏,DNS 仍可能暴露访问的网站与地理区域。
常见原因包括系统 DNS、路由器设置或浏览器 DoH。
泄露的常见原因
VPN 未强制 DNS 走隧道,系统继续使用 ISP 解析器。
路由器强制 DNS 或公共 Wi-Fi 使用劫持解析器。
浏览器启用 DoH 后绕过系统 DNS,导致路径不一致。
分流策略导致 DNS 走本地接口。
如何解读结果
解析器应属于 VPN 或你选择的可信 DNS 服务。
若出现 ISP 解析器,说明 DNS 仍在本地网络中解析。
若结果时好时坏,可能是网络切换或缓存导致。
出现多个解析器时需核对其归属是否一致。
如何修复
启用 VPN 的 DNS 保护、阻止本地 DNS 或 kill switch。
确保解析器属于 VPN 或可信 DNS 服务。
修改后重新测试,确认解析器已切换。
必要时关闭分流,保证 DNS 全量走 VPN。
DoH/DoT 注意事项
DoH/DoT 仅加密 DNS,不保证一定走 VPN。
若 DoH 直连到公共解析器,仍可能泄露 DNS。
测试时可先关闭 DoH,再逐步验证配置。
浏览器更新后可能重新开启 DoH,需要复查设置。
分流与多网卡
分流策略可能让 DNS 走本地接口。
多网卡(如虚拟网卡、USB 网卡)会增加泄露路径。
建议禁用不必要网卡以减少候选路径。
企业与合规场景
企业依赖 DNS 进行安全审计与合规。泄露会形成监控盲区。
远程办公使用 VPN 时,建议定期进行 DNS 泄露检测。
对关键系统可建立固定解析器白名单。
排障建议
清理系统与浏览器 DNS 缓存后再次测试。
检查路由器 DNS 与 VPN 客户端 DNS 配置是否一致。
必要时禁用浏览器扩展以排除干扰。
对比不同设备结果,定位是否为单设备问题。
验证清单
确保 DNS 解析器与 VPN 出口一致。
与 IP、WebRTC 测试结果对照确认无偏差。
记录基线解析器,便于后续审计。