小张最近发现,自己刚在某电商网站搜过“降噪耳机”,转头就收到好几条相关广告;李姐换了个公共WiFi后,连访问的新闻网站都开始推荐她从没点开过的健康养生内容。这些事背后,DNS 很可能悄悄露了脸。
DNS 不是“翻译器”那么简单
很多人以为 DNS 就是个“把域名变 IP 地址”的工具,查完就走、不留痕迹。但现实是:你每次打开网页、刷短视频、甚至手机后台更新天气插件,设备都会向 DNS 服务器发起查询请求——而这个请求里,明明白白写着你正在访问什么域名,比如 taobao.com、weibo.com、weather-widget.example.net。
默认情况下,你的电脑或手机大多用的是运营商提供的 DNS(比如电信 219.141.136.10、联通 202.106.0.20),它们能看清你所有域名请求,且通常不加密、不承诺删除日志。有些运营商还会把这类数据用于流量调度,甚至和第三方合作做用户画像。
HTTPS 挡不住 DNS 泄露
有人会说:“我只上 HTTPS 网站,地址栏有小锁,肯定安全。”其实不然。HTTPS 只加密了你和网站之间的通信内容,但 DNS 查询本身是明文发出的(传统 DNS 协议),就像你寄信前先打电话告诉邮局“我要给张三寄信”,电话内容谁都能听见,信封再加锁也晚了。
试试更私密的 DNS 方案
想少留“足迹”,可以手动换掉默认 DNS。主流方案有两类:
① 加密 DNS(DoH / DoT):把 DNS 请求包进 HTTPS 或 TLS 隧道里,让中间人看不到你查的是啥。Windows 11 和 macOS 最新版都支持直接设置,Chrome 和 Firefox 也默认启用 DoH(可进浏览器设置里确认是否开启)。
② 可信第三方 DNS:比如 Cloudflare 的 1.1.1.1、Google 的 8.8.8.8,它们公开承诺不长期存储用户 IP 或查询记录。国内也有像 223.5.5.5(阿里 DNS)和 119.29.29.29(腾讯 DNSPod),虽未完全开源日志策略,但普遍比小运营商 DNS 更规范。
改法很简单:以 Windows 为例,进“网络和 Internet 设置 → 更改适配器选项 → 右键当前连接 → 属性 → IPv4 → 属性”,把 DNS 服务器地址改成 1.1.1.1 和 1.0.0.1 即可。
顺手检查一下你的 DNS 是否真加密了
打开命令行(Win+R 输入 cmd),输入:
nslookup www.baidu.com 1.1.1.1如果返回正常 IP,说明基础通路没问题;再访问 https://1.1.1.1/help,页面会自动检测你当前是否启用了加密 DNS。
当然,换 DNS 并非万能解药——它防不住网站自身追踪、防不住恶意插件、也防不住你主动填的手机号和收货地址。但它确实是普通人最容易做到、成本最低的一层隐私防护动作。
就像出门随手关灯一样,改个 DNS 设置,花不了两分钟,却能让某些“不该知道你在看什么”的人,少盯你一眼。