加密 DNS 和 VPN 的差距 —— 为什么 DoH 和 DoT 在 2026 年依然挡不住你的浏览记录
可用语言
如果你在浏览器或操作系统里打开了加密 DNS,就以为运营商再也看不到你访问哪些网站——你不是一个人。这是 2026 年最常见的隐私误解之一。
四月中旬,安全讲师 David Bombal 发布了一段实际演示视频,最近在网络上流传:即便打开了 DNS-over-HTTPS(DoH),即便每条连接都用 TLS 加密,他依然能仅靠在网络上抓包,准确识别目标访问的网站。加密 DNS 几乎没遮住任何有用的东西。
如果你正指望仅凭 DoH 或 DoT 就保住浏览隐私,这篇文章就是写给你的。我们来拆开看一下:加密 DNS 到底遮住了什么、漏掉了什么,以及为什么只有 VPN 才能真正把你的流量从运营商的日志里挪出去。
先复习一下:DNS 是什么?
每次你在浏览器里输入 example.com,设备会先去问一个 DNS 解析器:把这个名字翻译成 93.184.216.34 这样的 IP 地址。没有 DNS,互联网就只是一本谁都背不下来的电话簿。
几十年来,DNS 查询都是通过 UDP 53 端口明文发送——完全不加密。任何在你网络上的旁观者(运营商、咖啡馆 Wi-Fi 管理员、政府机构)都能逐条读到你查询过的每一个域名。
加密 DNS 就是为了解决这一个具体问题而设计的。
加密 DNS 是什么?
"加密 DNS" 是一个伞形概念,覆盖了三种现代传输协议:
| 协议 | 全称 | 端口 | 传输层 |
|---|---|---|---|
| DoH | DNS over HTTPS | 443 | TCP/HTTPS |
| DoT | DNS over TLS | 853 | TCP/TLS |
| DoQ | DNS over QUIC | 853 | UDP/QUIC |
三者都把你的 DNS 查询包裹在一条加密通道里发往解析器。Cloudflare(1.1.1.1)、Google(8.8.8.8)、Quad9、NextDNS 等大厂都支持这些协议。Firefox、Chrome、Edge、Safari 等现代浏览器,以及 Windows 11、macOS、iOS、Android 等操作系统,几下点击就能开启加密 DNS。
加密 DNS 解决了 DNS 明文传输的问题。它不解决"网络层监听"这个更大的问题。
加密 DNS 真正遮住了什么
先把功劳给到位。打开 DoH 或 DoT 后,下面这些信息确实对运营商和本地网络的旁观者隐身了:
- DNS 查询本身——
example.com这串字面文本不再以明文发出 - DNS 应答——解析器返回的 IP 地址也走加密通道
- DNS 劫持变难了——运营商不再能改写应答,把你重定向到另一个页面
如果你身处对基于 DNS 的封锁比较激进的地区,加密 DNS 有时能绕过最简单的封锁手段,这是实打实的好处。
但问题在于:遮住 DNS 查询,只是隐私版图里非常小的一块。
加密 DNS 没遮住的东西
这就是几乎所有人心智模型崩塌的地方。设备把 example.com 解析成 93.184.216.34 之后,它必须真的连接到那个 IP 地址才能加载网页。这一段连接才是运营商真正在意的部分——而加密 DNS 在这里完全没起作用。
有三个大漏洞依然完全敞着:
1. 目的 IP 地址
你发出的每一个数据包都在头部带着目的 IP。所有路由器——包括你运营商的——都要读这个 IP 才能转发数据包。除非在这之上再叠一层网络(VPN、Tor、代理),否则没有任何办法对运营商隐藏目的 IP。
一旦运营商看到你连接的是 Netflix 的 IP 段、Google 的 IP 段,或者某个成人站点 CDN 的 IP 段,就算没有 DNS,他们也大致能猜到你在去哪。
2. TLS SNI 字段
当浏览器发起 HTTPS 连接时,第一个发出去的消息——TLS ClientHello——里有一个叫 SNI(Server Name Indication) 的字段。SNI 告诉服务器你要访问的网站是哪一个,因为一个 IP 地址背后的 CDN 通常托管着上千个站点。
问题是:SNI 是明文发送的。即便握手之后的内容都加密了,主机名本身还是裸跑在网络上。运营商读它就像读明信片一样轻松。
这就是加密 DNS 没法真正遮住浏览记录的最大原因。正如 Bombal 在四月演示中说的:"DNS 加密了,并不意味着你的运营商——或者另一个在网络上抓包的人——看不到你在去哪个网站。"
3. 流量模式与时序
哪怕域名被某种方式遮住了,包大小、时序和频率也会泄露惊人多的信息。研究人员已经证明:仅凭包元数据,旁观者就能识别具体的 YouTube 视频、判断你在用哪一家流媒体服务,甚至能猜出你在读哪一页。
ECH 不是能修 SNI 吗?
好问题,问得也对。Encrypted Client Hello(ECH) 是早期 ESNI 提案的继任者。它把整个 ClientHello(包括 SNI)都加密,所以握手开头不再泄露主机名。
ECH 确实是 SNI 问题最干净的修复方案。问题出在普及度:
- ECH 必须客户端(浏览器)和服务端(或其 CDN)双方都支持才能生效
- 实际上 2026 年绝大多数能用上 ECH 的流量都集中在 Cloudflare 这一家 CDN
- 大量重要站点(银行、航空、政府、各地区域服务)根本不在能用 ECH 的 CDN 后面
- 一些网络会主动屏蔽带 ECH 标记的 ClientHello,强迫客户端回退
在 Bombal 的实验中,几乎每个测试过的网站的 SNI 字段都暴露了目的域名,少数例外是开了 ECH 的 Cloudflare 站点。技术是真的,但还远远不是完整答案。
加密 DNS vs VPN:真正的对比
把两种技术放在普通用户最关心的威胁面前比一比:
| 旁观者能看到什么 | 仅加密 DNS | VPN |
|---|---|---|
| 明文 DNS 查询 | 隐藏 | 隐藏 |
| 目的 IP 地址 | 可见 | 隐藏(只看到 VPN 服务器 IP) |
| TLS SNI / 主机名 | 可见 | 隐藏(在隧道内部) |
| 对特定站点的连接时序与流量 | 可见 | 被掩盖(与其他 VPN 流量混在一起) |
| 运营商能拿你的浏览数据卖给谁 | 你 | 如果 VPN 记日志,是 VPN 提供商;零日志 VPN 谁也卖不了 |
| 访问受地理限制的内容 | 没变化 | 可绕开,通过其他地区的服务器 |
| 公共 Wi-Fi 嗅探 | 部分缓解 | 端到端全程加密 |
VPN 工作的层级比 DNS 低得多。它在你的设备和 VPN 服务器之间建一条加密隧道,所有数据包——DNS 查询、IP 路由、TLS 握手、SNI、流量模式——都从这条隧道里走。运营商只看到一条单一的加密流通向 VPN 端点。他们读不出来内容,分辨不出每一个具体目的地,也卖不出他们手里没有的东西。
为什么"我开了 DoH 就够了"不够
把人们最常以为加密 DNS 在保护自己的几种场景过一遍,看看实际发生了什么:
家里 Wi-Fi。 运营商依然能看到你连过的每一个 IP 和 SNI。他们能拼出一份完整的浏览画像,并且在很多国家可以合法卖出或共享。
公共 Wi-Fi。 运营这个热点的人——或同一网络上的攻击者——能明文读到你的 SNI。即便你的 DNS 加密发往 Cloudflare,他们依然知道你访问的每一个网站。
公司或酒店网络。 网管能看到你所有的目的地,而且常常主动记录。一些网络甚至屏蔽已知的 DoH 解析器,逼你回到明文 DNS。
国家级监控或封锁下。 SNI 检测是全世界部署最广、成本最低的过滤手段之一。仅凭加密 DNS 绕不过去。
在以上任何一种情况下,DoH 都不会有意义地改变旁观者能拿到什么信息。
正确组合:加密 DNS 和 VPN
这不是"二选一",最强的方案是组合使用:
- VPN 把你 100% 的流量——DNS、IP、SNI 全都包括——塞进加密隧道,让运营商和本地网络都看不到。
- 隧道内的加密 DNS确保你的 DNS 查询对 VPN 上游解析器也是加密的,并且在 VPN 偶尔短暂断开时也能减少指纹特征。
- 能用 ECH 就用上——为支持 ECH 的网站再加一层,但它不是隧道的替代品。
一个值得信赖的 VPN 还应该自动处理 DNS:连上之后,所有 DNS 流量都应该通过 VPN 自有解析器(或者你选定的加密 DNS 提供商)走在隧道里,并配合 DNS 泄漏保护确保没有任何查询不小心溜回运营商的解析器。
怎么验证你的设置没在漏
把以上的话信进去之前,先实测一下:
- 连上你的 VPN。
- 访问 dnsleaktest.com 跑一次扩展测试。看到的应该是你 VPN 提供商的解析器,而不是运营商的。
- 访问 browserleaks.com/ip 确认你的公网 IP 对应 VPN 服务器,而不是你的真实地址。
- 可选:用 browserleaks.com/tls 看一下你的 TLS ClientHello(包括 SNI/ECH 支持情况)在服务器看来长什么样。
如果任何一项测试露出了你真实的运营商、真实 IP 或真实位置,你的设置在漏。好的 VPN 客户端会用 Kill Switch 和内置的 DNS 泄漏保护自动堵上这些洞——但值得自己亲手验一次。
结论
加密 DNS 比明文 DNS 是真实的进步,应该打开。但它解决的是一个很窄的问题:把 DNS 查询的字面文本从抓包者眼前挡住。
它不会遮住:
- 你连接的 IP 地址
- 在未加密 SNI 字段里暴露的主机名
- 你的流量模式和元数据
- 任何来自坚定运营商、网管或监控方的窥探
如果你的目标是真正的浏览隐私——把运营商、公共 Wi-Fi 运营方、和顺手监听者挡在你的活动之外——你需要的是 VPN。加密 DNS 是上面再加的一层补充,不是替代品。
Mosaic VPN 如何守住你的浏览隐私
Mosaic VPN 正是基于上述这些现实设计的:
- AES-256 加密把每一个数据包——DNS、SNI 全都包括——封装进低开销的加密隧道,让运营商和本地网络根本读不出
- 内置 DNS 泄漏保护把每一个查询都从隧道里走,没有任何查询会溜回运营商的解析器
- 可靠的 Kill Switch在隧道断开瞬间立即切断网络,避免短暂明文窗口暴露你的流量
- 严格的零日志政策意味着没有可被传唤、出售或泄露的浏览记录
- 覆盖全球的服务器网络让你按需切换出口区域,让基于 IP 的追踪失效,同时解锁地理限制内容
加密 DNS 是不错的第一步。把它和 Mosaic VPN 配合在一起,运营商一直在悄悄利用的那道缝才算真正合上。
文章标签