你連上了VPN，看著狀態(tài)欄里的小鎖圖標(biāo)覺得萬(wàn)無一失。可打開檢測(cè)頁(yè)，列表里跳出的卻是寬帶運(yùn)營(yíng)商的DNS服務(wù)器——全是BT、Comcast、Verizon或Movistar的名字。這就是一次實(shí)實(shí)在在的泄漏。要確認(rèn)它，真的只需要兩分鐘。

測(cè)試流程很直接：連接VPN，訪問 dnsleaktest.com 并運(yùn)行“擴(kuò)展測(cè)試”，然后檢查列出的DNS服務(wù)器是不是你的VPN服務(wù)商提供的，而不是你的互聯(lián)網(wǎng)服務(wù)商。如果出現(xiàn)了你平時(shí)直連網(wǎng)絡(luò)才會(huì)用到的那些ISP解析器，泄漏已經(jīng)發(fā)生。三個(gè)最常見的原因包括：VPN本身未啟用“防DNS泄漏”功能、Windows的智能多宿主DNS繞過了隧道，以及瀏覽器單獨(dú)開啟了DoH（基于HTTPS的DNS）。修復(fù)往往只需五分鐘，具體要結(jié)合操作系統(tǒng)和瀏覽器調(diào)整。值得提一句，NordVPN、ExpressVPN和Surfshark自2023年起已默認(rèn)開啟防泄漏，審計(jì)中99%的會(huì)話都能通過泄漏測(cè)試。

理解這四類技術(shù)成因，才能快速定位自己的問題。VPN本該把所有請(qǐng)求——包括DNS——都塞進(jìn)加密隧道，但現(xiàn)實(shí)里有四種情況會(huì)讓DNS請(qǐng)求溜出隧道。第一，Windows 8開始引入的智能多宿主名稱解析（SMHNR）會(huì)同時(shí)向所有活躍網(wǎng)絡(luò)適配器發(fā)送查詢，誰(shuí)先回答就用誰(shuí)。VPN連上后，Windows會(huì)同時(shí)向VPN的DNS和底下的Wi-Fi/以太網(wǎng)接口上ISP的DNS發(fā)請(qǐng)求。局域網(wǎng)里ISP的響應(yīng)常常先到，ISP就記下了你的查詢。第二，瀏覽器自帶的DoH成了“獨(dú)行俠”。Firefox從2020年起默認(rèn)把DNS-over-HTTPS指向Cloudflare的1.1.1.1，Chrome也有類似選項(xiàng)。除非瀏覽器特意檢測(cè)到活躍VPN，這些DoH解析器會(huì)完全繞過系統(tǒng)DNS，自然也繞過了VPN。第三，一些基礎(chǔ)VPN激活隧道時(shí)根本不在系統(tǒng)里聲明自己的DNS服務(wù)器，操作系統(tǒng)就接著用之前DHCP下發(fā)的ISP解析器。第四，純IPv6流量被遺忘在隧道外。大量VPN只處理IPv4，而現(xiàn)代ISP和路由器普遍默認(rèn)啟用IPv6，這些流量直接裸奔出網(wǎng)。

要證實(shí)泄漏，經(jīng)典辦法就是讓一個(gè)服務(wù)告訴你最終是誰(shuí)解析了查詢。它生成一個(gè)隨機(jī)子域名，瀏覽器觸發(fā)解析，服務(wù)端再記錄下哪個(gè)IP來做的解析。行業(yè)內(nèi)推薦用三家工具交叉驗(yàn)證，其中dnsleaktest.com自2008年起就是參照標(biāo)準(zhǔn)。連接VPN后打開網(wǎng)站，一定要點(diǎn)“擴(kuò)展測(cè)試”而不是普通版，等上10到20秒。頁(yè)面會(huì)列出所有響應(yīng)過的DNS服務(wù)器，通常是2到6個(gè)不同的解析器。對(duì)比這些IP是否屬于你的VPN服務(wù)商，就能一錘定音。

找到癥結(jié)，修復(fù)并不復(fù)雜。針對(duì)Windows的智能多宿主行為，調(diào)整網(wǎng)絡(luò)配置或啟用VPN客戶端的防泄漏選項(xiàng)即可攔截旁路查詢。瀏覽器DoH的問題需要進(jìn)入設(shè)置，讓瀏覽器在有VPN時(shí)回退到使用系統(tǒng)DNS。對(duì)于不聲明DNS的VPN，更換一個(gè)正經(jīng)支持DNS管理的服務(wù)是最直接的。而IPv6泄漏，要么選擇能同時(shí)隧道化IPv6的VPN，要么在操作系統(tǒng)中暫時(shí)關(guān)閉IPv6協(xié)議。大多數(shù)頭部VPN已經(jīng)替用戶擋住了這些坑，但自己動(dòng)手驗(yàn)一次，永遠(yuǎn)是掌握網(wǎng)絡(luò)主動(dòng)權(quán)的最好方式。