DNS 泄露检测

判断当前网络是否把 DNS 请求泄露到本地 ISP 或第三方解析器，并提供可复现的修复与验收流程。

DNS 泄露检测工具

先明确什么叫"DNS 泄露"

DNS 的作用是将域名转换为 IP 地址。当 DNS 查询绕过了 VPN 或代理隧道时，解析器仍然可以看到你试图访问哪些站点，即使页面内容已被加密。

DNS 泄露破坏了一个基本假设：所有网络流量都应走受保护的路径。你可能在 IP 测试中显示安全，而 DNS 仍在暴露你的浏览意图。

对于隐私敏感场景，DNS 应与 IP 流量走相同的网络路径和出口地区。任何不一致都是泄露信号。

为什么 DNS 泄露会发生

VPN 客户端可能未能覆盖系统 DNS 设置，或者路由器在网络层面强制使用 ISP 提供的解析器。在这种情况下，DNS 继续使用本地路径，而网页流量却走了 VPN。

浏览器的功能（如 DNS over HTTPS）可能覆盖系统 DNS，直接将查询发送到公共解析器。分流入侵和多接口设备会增加更多可能意外泄露 DNS 的路径。

这个检测页会返回什么

页面会展示可观测到的解析器信息（解析器 IP、归属组织、地区等），用于判断是否符合你的网络预期。

如果你预期"全部走 VPN DNS"，却看到本地 ISP 或陌生公共解析器，通常表示 DNS 尚未被完全接管。

检测工具不需要检查你的浏览历史，仅凭解析器身份就能判断 DNS 是否逃离了隧道。

三步解读结果（建议照做）

**第一步：**先看解析器归属是否符合预期（VPN 提供商或你明确指定的 DNS 服务）。

**第二步：**与 IP 查询对照，确认 DNS 归属与出口地区/网络类型不冲突。

**第三步：**连续测试 2-3 次，排除缓存与短时抖动后再下结论。

安全的结果通常显示解析器所有权与你使用的 VPN 或可信 DNS 提供商一致。如果你在解析器列表中看到你的 ISP、路由器或本地网络，说明 DNS 正在泄露。

混合结果可能发生在浏览器使用 DoH 而系统使用本地 DNS 的情况下，此时你可能同时看到 DoH 提供商和你的 ISP。

高频泄露原因（按出现概率）

VPN 未开启 DNS 保护或 kill switch
路由器强制劫持 53 端口
浏览器 DoH 绕过系统链路
分流规则把 DNS 留在本地接口
网络切换（Wi-Fi/热点）、系统睡眠恢复后配置重置

如何修复 DNS 泄露

启用 VPN 的 DNS 保护功能、阻止本地 DNS，并在可用时开启 kill switch。这些设置可以防止 VPN 激活时操作系统回落到 ISP 解析器。

如果路由器强制使用 DNS，请将其更新为使用 VPN 提供商的 DNS 或可信的解析器。每次变更后重新测试，确认解析器身份已发生变化。

如果 VPN 无法强制执行 DNS，可以考虑支持 DNS 推送的客户端，或使用系统级防火墙规则阻止隧道外的 DNS 流量。

DoH 和 DoT 的注意事项

DNS over HTTPS（DoH）和 DNS over TLS（DoT）会对 DNS 查询进行加密，但不会自动通过 VPN 路由。如果 DoH 提供商是直接到达的，仍然可能将 DNS 泄露到隧道外。

如果你使用 DoH/DoT，请确保流量通过 VPN 接口，或者配置 VPN 推送自己的安全 DNS。

一个好的检查方法是对比开启和关闭浏览器 DoH 时的解析器所有权。如果所有权变为 VPN 外部的公共解析器，你很可能正在泄露。

DNS 泄露的症状

如果在 IP 测试显示 VPN 出口的情况下，解析器列表中仍出现你的 ISP 或本地网络，几乎可以确定存在泄露。

间歇性结果通常意味着 DNS 在不同解析器之间切换。这可能发生在 VPN 重连、网络切换或浏览器切换 DoH 时。

地区锁定内容突然出现变化或意外的地理位置匹配，也可能表明 DNS 正在逃离隧道。

如何选择 DNS 提供商

可信的 DNS 提供商应在日志策略上透明、支持加密 DNS，并在地区上符合你的隐私要求。

如果你的 VPN 提供自己的解析器，优先使用它以保持一致性。将 VPN 流量与第三方 DNS 混合可能产生不匹配，看起来像泄露。

路由器和企业场景

部分路由器对所有设备强制使用 ISP DNS，无论本地设置如何。如果你管理路由器，请将其 DNS 服务器更新为与 VPN 或可信提供商匹配。

在企业环境中，组策略可能锁定 DNS 设置。VPN 客户端可能无法在无管理员干预的情况下覆盖这些策略。

测试最佳实践

在新的浏览器会话中运行测试，以避免缓存的 DNS 结果。如果工具持续显示较旧的解析器，请清除浏览器 DNS 缓存。

分别在开启和关闭浏览器 DoH 的情况下测试。对比两种模式有助于识别泄露是来自浏览器还是网络栈。

浏览器、操作系统和应用程序的差异

不同浏览器可能使用不同的 DNS 行为。一个浏览器可能默认使用 DoH，而另一个依赖操作系统解析器，这可能导致跨工具的不一致结果。

移动应用程序和桌面客户端的行为也可能不同。如果你依赖隐私或合规，请在每个实际使用的环境中测试相同的网络路径。

如果你管理多个配置文件，请分别验证每个配置文件。扩展或企业策略可能覆盖 DNS 行为，而不会在界面上显示任何可见变化。

修复顺序（最省时间）

建议按固定顺序处理：开启 VPN DNS 保护 → 排障阶段关闭浏览器 DoH → 检查路由器是否强制 DNS → 关闭分流改为全隧道复测。

每次只改一项并复测，避免同时改动太多导致无法定位到底哪一步生效。

修复完成的验收标准

合格标准通常包括：解析器归属稳定一致、与 VPN 出口地区一致、重复测试无明显漂移。

建议再做一次 WebRTC 泄露检测交叉验证，避免出现"DNS 修好了但其他层还在泄露"。

操作检查清单

在操作系统更新、浏览器更新或 VPN 变更后重新测试。许多泄露出现在客户端更新重置 DNS 设置之后
在你使用的每台设备和每个网络上测试。移动网络、强制门户和企业 Wi-Fi 行为可能不同，并引入意想不到的解析器
记录你预期的解析器范围，以便在审计或事件响应期间快速发现偏差

常见误区

误区一：只测一次就结案。间歇性泄露需要多次测试才能确认。

误区二：只看"能否上网"，不看解析器归属。

误区三：以为开启 DoH/DoT 就必然不泄露。DoH/DoT 解决的是"DNS 是否加密"，并不自动保证"DNS 走对路径"。路径错误仍然是泄露。

团队运维建议

团队可维护 DNS 基线（预期解析器 IP/ASN/地区），在系统更新、VPN 升级后做回归检测，快速识别策略漂移。

关键岗位建议定期抽检；发现异常时先保留截图、时间点与网络环境，再排查策略变更，定位效率会明显提升。

DNS 泄露检测 | 检查 VPN 是否泄露 DNS 请求