打开浏览器,输入一个网址,几秒后页面就出来了。你可能没想过,这个过程里,你的电脑悄悄向某个服务器发了一条消息:“xxx.com 的 IP 地址是多少?”——这就是 DNS 查询。
DNS 不是“查电话簿”那么简单
很多人觉得 DNS 就像翻电话簿,查完就完事了。但现实是:你查的每一回,请求都明文发出去,不加密(除非你特意开了 DNS over HTTPS 或 DNS over TLS)。运营商、公共 WiFi 提供商、甚至你用的 DNS 服务商,都能看到你查了哪些域名。
比如你在公司连 WiFi,访问了某健康咨询网站、某心理测评页面、某小众论坛……这些域名记录,全留在路由器或 DNS 服务器日志里。虽然它不知道你具体看了哪一页,但光是域名本身,已经暴露了不少信息。
默认 DNS 是谁在听?
大多数家庭宽带默认用的是运营商提供的 DNS,比如 114.114.114.114 或 223.5.5.5。它们响应快,但没有义务对你的查询保密。有些还会把查询日志用于流量分析、广告推荐,甚至卖给第三方。
举个例子:你连续三天查“甲状腺结节怎么办”“甲亢饮食禁忌”“TSH 检查结果解读”,这些请求汇总起来,比你填的健康问卷还真实。
换一个 DNS 就安全了?
换 Google DNS(8.8.8.8)或 Cloudflare(1.1.1.1)确实比用运营商 DNS 更少商业追踪,但它们依然能看见你的查询。Cloudflare 承诺不长期保存日志,Google 则会关联账户做分析(如果你登录了 Chrome 并开启同步)。
真正提升隐私的做法,是启用加密 DNS:
Windows 11/10 可在“网络适配器设置 → 更改适配器选项 → 右键属性 → IPv4 → 高级 → DNS → 勾选‘使用以下 DNS 后缀’下方的‘使用加密 DNS’”,然后填:
https://1.1.1.1/dns-queryhttps://dns.google/dns-queryMac 用户可在“系统设置 → 网络 → 详情 → DNS → + 添加服务器”,再点击右侧小锁图标启用 DoH。
更彻底的办法:本地 DNS 缓存 + 过滤
进阶用户可以装 Pi-hole 或 AdGuard Home,部署在自家路由器或旧手机上。它既是 DNS 服务器,又能屏蔽广告和追踪域名。所有查询只经过你自己的设备,连 ISP 都看不到具体内容。
不过要注意:这类方案需要一点动手能力,比如配置 DHCP 分配自定义 DNS,或手动改终端的网络设置。但它带来的隐私感,是换几个数字服务器地址远远比不了的。
说到底,DNS 不是后台静默的小零件,它是你上网的第一道“报备窗口”。关不关心它,取决于你想不想让别人知道——你今天想了解什么。