INFO
DNS 泄露常见问题与检测网站
DNS 泄露常见问题回答
核心概念
- DNS(域名解析):把域名转成 IP(例:
baidu.com→110.242.68.66);TCP/IP 通信必须有 IP 才能建立连接。 - DNS 泄露:本应由代理(跳板/魔法服务器)完成的 DNS 查询,从本地网络发出或曾发出,暴露了访问意图。
- FakeIP:给本机返回占位的假 IP(常见
198.18.x.x),本机用假 IP 建连,真正的解析由代理端完成,避免本地泄露。
为什么会发生 DNS 泄露
- 本机在建立 TCP 连接前会发 DNS;使用代理时若流程或路由不当,就会在本地触发解析。
- 某些路由规则需要把域名解析成 IP 来做 IP 匹配(fallback 情形),这类情况最容易导致本地 DNS 请求。
泄露的后果
- 隐私暴露:本地运营商 / 网管能看到你访问了哪个站点。
- 服务可用性受影响:目标网站可能根据 DNS 判断地理位置,进而拒绝服务(常见于流媒体、部分 AI 服务)。
- 风险差异:对普通站点影响有限;访问敏感/违规内容时风险明显增大。
防止 DNS 泄露的实操建议
- 优先使用 Tun + FakeIP 模式,让本地只拿假 IP,真实解析在代理端进行。
- 路由优先使用域名匹配;对会触发本地解析的场景,启用
no-resolve(跳过本地解析,继续按域名匹配)。 - 对被劫持或敏感域名,强制走节点或为其指定独立
nameserver-policy。
常见问答(精要)
- 全局能否万无一失? 一般可,但极少数协议(如 QUIC/基于 UDP)仍可能泄露,需额外处理。
- 本地 app 随机 ping 外网地址会泄露吗? ping 返回的是 FakeIP,不会直接暴露真实目标,但视具体路由/规则实现。