DNS泄露會暴露真實IP和上網記錄?教你快速檢測並修復

明明感覺自己隱藏得很好了，結果隨手一查，自己的真實 IP 位址和最近訪問記錄還是清清楚楚地擺在眼前？這背後搞鬼的，很可能就是 DNS 洩露。

更扎心的是，哪怕換了 IP 位址，只要 DNS 洩露存在，你的真實上網記錄照樣會被某些第三方看得一清二楚。

今天小編就帶你走一遍完整的 DNS 洩露檢測流程，再手把手教你幾招靠譜的 DNS 洩露修復方法。每一步都會講得明明白白。

一、到底什麼是 DNS 洩露？為什麼說它很危險？

DNS 就是我們訪問網站時幫我們把網域名稱翻譯成底層程式碼的一種機制，如果你什麼都沒開，那這條「網域名稱翻譯請求」會直接走你的網路營運商，營運商很清楚你的訪問記錄，沒有任何隱私可言。

很多人以為用了代理就隱身了——實際上，設備可能仍然繞過這層加密通道，偷偷摸摸地又去找了營運商的預設 DNS 伺服器，發生這種情況，就叫 DNS 洩露。

一旦發生 DNS 洩露，你的真實 IP 和上網記錄——也就是你瀏覽了哪些網域名稱和網頁——都會暴露給網際網路服務供應商，你的網路防護就會存在一處漏風的破口。

二、快速上手：DNS 洩露檢測怎麼操作？

知道了 DNS 洩露是什麼，接下來就得親手查查自己的設備有沒有這個漏洞。推薦 ToDetect，它的檢測介面比較友善。

• 第一步：假設你平時會使用一些保護 IP 位址的網路工具，先在電腦或手機上正常啟動並連線。

• 第二步：建議打開瀏覽器無痕／隱私模式，清除瀏覽器之前的快取和記錄，這樣可以確保檢測環境乾淨。

• 第三步：訪問 ToDetect 官網，在首頁很容易找到「網路測試」板塊，點進去就能看到「DNS 洩露檢測」功能。不用註冊，不用登入，點一下「開始檢測」按鈕即可。

• 第四步：頁面會返回詳細的分析結果——會顯示當前你實際上網過程中，設備正在使用哪些 DNS 伺服器，這些 DNS 伺服器位於哪個國家和地區，歸屬哪個服務商。

如果看到伺服器資訊和你平常用來隱藏 IP 的工具完全相符，那就說明你的防護目前滴水不漏；反之，如果檢測頁面跳出一個本地營運商的伺服器 IP（例如電信或聯通的公網 DNS），那麼很不幸，你的 DNS 正在偷偷洩露。

很多使用者會有這些疑問：

• 隱私模式能防範 DNS 洩露嗎？答案是不能。隱私模式只管「本地不留記錄」，但 DNS 請求的傳輸路徑和隱私模式完全沒有關係。

• 怎麼判斷自己的防護工具是否可靠？連線後跑一遍 DNS 洩露檢測即可，看看到底顯示的是哪個 DNS 服務商的資訊。

三、發現 DNS 洩露了怎麼辦？一份詳細的修復指南

方法一：先試著修改你的系統 DNS 伺服器（新手必學，效果最直接）

• Windows 系統：滑鼠右鍵點擊右下角網路圖示，打開「網路和 Internet 設定」→找到「變更介面卡選項」。右鍵你正在連線的網路（Wi-Fi 或乙太網路）→選擇「內容」→在彈出的列表裡雙擊「Internet Protocol Version 4 (TCP/IPv4)」→勾選「使用下列 DNS 伺服器位址」→然後在「慣用 DNS 伺服器」和「其他 DNS 伺服器」裡輸入公共 DNS 位址。

註：修改後建議在命令提示字元（CMD）中輸入 ipconfig /flushdns，按 Enter 重新整理 DNS 快取，讓修改立即生效。

• Mac 系統：進入「系統設定」→「網路」→選擇「Wi-Fi」或「乙太網路」→「詳細資訊」→「DNS」，將自動 DNS 改成手動，填入 IP 位址。同樣，修改後在終端機執行 sudo killall -HUP mDNSResponder，重新啟動 DNS 服務刷新快取。

手機（iOS／Android）：進入 Wi-Fi 設定 → 點擊已連線的網路 → 找到「設定 DNS」選項 → 選擇「手動」 → 刪除自動分配的 DNS 項目，新增新的公共 DNS 位址。

方法二：選一套可靠的公共 DNS 位址，給網路來次升級

很多人還是習慣使用網路營運商自動分配的 DNS，不太穩定，常有劫持或記錄使用者訪問行為的情況。國內可靠好用的公共 DNS 推薦：

• 阿里 DNS：首選：223.5.5.5；備選：223.6.6.6（在國內穩定性非常優秀）

• 騰訊 DNSPod：首選：119.29.29.29；備選：182.254.116.116（主打高安全防護）

• 114DNS：純淨版：114.114.114.114；安全版：114.114.115.115（老牌穩定，國內解析速度很快）

• CNNIC DNS：1.2.4.8；備選：210.2.4.8

國際常用的隱私友善型 DNS（建議與國內 DNS 搭配使用）：

• Cloudflare DNS：1.1.1.1；備選：1.0.0.1（承諾不記錄解析日誌，支援 DNS over HTTPS 加密）

• IBM Quad9：9.9.9.9（安全性高，可有效攔截惡意網站）

• OpenDNS：208.67.222.222；備選：208.67.220.220

方法三：開啟加密 DNS，把網域名稱請求關進保險箱

Chrome 瀏覽器：在網址列輸入 chrome://settings/security，往下捲動到「進階」部分，找到「使用安全 DNS」選項，開啟後選擇「使用自訂」，填入加密 DNS 的 HTTPS 位址。

Firefox 瀏覽器：進入「設定」，找到「隱私權與安全性」頁面，一直往下拉到「啟用 DNS over HTTPS」，勾選後選擇「增強保護」。如果希望更穩定，可以在自訂欄位輸入國內線路。友情提醒：Firefox 本身提供了「相容模式」和「嚴格模式」，隱私需求較高的朋友可以在 about:config 裡將 network.trr.mode 修改為「3」，強制所有 DNS 請求都使用 DoH。

Windows 11 系統級加密 DNS：依次打開「設定」→「網路和 Internet」→選擇目前網路（Wi-Fi 或乙太網路）→「DNS 伺服器指派」→「編輯」，選擇「手動」，填入 DNS 位址後，在下拉選單中手動指定「偏好 DNS 加密（僅 HTTPS）」或「偏好 DNS 加密（僅 TLS）」，即可開啟系統層級的加密 DNS。

方法四：別忘了替路由器和防火牆加一道門檻

有時即使電腦或手機的 DNS 設定很完美，但在路由器層面仍有漏洞——路由器本身的 DNS 設定沒有修改，連上這台路由器的所有設備，其 DNS 請求仍然交給本地營運商。

登入路由器後台（通常是 192.168.1.1 或 192.168.0.1，密碼一般貼在路由器背面），在「網路設定」或「DNS 設定」中，將預設 DNS 伺服器手動改成一至兩個可靠的公共 DNS 位址。

與此同時，最好檢查一下路由器是否開啟了「DNS 劫持」或「強制 DNS」之類的功能，這類選項往往會干擾本地設備的 DNS 設定。如果發現路由器 DNS 有異常或被竄改，請立即修改管理密碼，並更新路由器韌體。

這一步極為重要——CNCERT 近期發布的安全提示明確指出，大量家庭路由器 DNS 被惡意竄改後，會誘導使用者跳轉到釣魚頁面，造成嚴重的帳號資訊洩露風險。

四、DNS 洩露檢測常見問題解析 FAQ

問題一：電腦改了 DNS，檢測怎麼還顯示營運商 IP？

答：多半是路由器強制覆蓋了你的設定。登入路由器後台（192.168.1.1 或 192.168.0.1），把路由器的 DNS 也改成公共 DNS，儲存後重新啟動。再跑一次 ToDetect 檢測，問題基本就能解決。

問題二：開了加密 DNS，為什麼檢測還能看到我的真實城市？

答：加密 DNS 只負責保護網域名稱查詢不被偷看，管不了 WebRTC 洩露。瀏覽器指紋或 WebRTC 可能直接暴露你的真實 IP。建議使用 ToDetect 做一次完整網路檢測，同時安裝禁止 WebRTC 的擴充套件，才能把漏洞補齊。

問題三：手機使用 4G／5G 上網，也會 DNS 洩露嗎？

答：會，而且更常見。行動網路預設走營運商 DNS，等於完全暴露。使用 ToDetect 測一下，如果顯示歸屬於營運商 IP，說明已經洩露。修復方法：在手機的 APN 設定中手動改成公共 DNS，或安裝支援全域 DoH／DoT 的 App。

寫在最後

關於 DNS 洩露怎麼查、怎麼修，基本都講透了。說句實在話，網路隱私保護這件事，不怕你什麼都不會，就怕你壓根不知道有坑。

花十分鐘做一次 DNS 洩露檢測，根據本指南手動設定安全 DNS、開啟加密 DNS 協議，就能有效堵住後門，將真實 IP 和上網行為妥善保護起來。

每次更換網路環境最好都順手測一下 DNS，養成習慣，你的上網隱私才能真正掌握在自己手中。