DNS泄露检测工具对比：5款主流工具哪个好？（2026年深度评测）

DNS泄露这件事有意思的地方在于，它不像IP泄露那样显眼。你换个节点，IP立马变，感知很强。但DNS是后台默默跑的，大多数人根本不知道自己的DNS请求在裸奔。这也是为什么我觉得有必要专门写一篇DNS泄露检测工具的对比——这个话题看起来简单，水其实挺深的。

写这篇之前我把主流的DNS泄露检测工具都过了一遍，包括ToDetect、DNSLeakTest、IPLEAK.NET、BrowserLeaks，还有个老派的DNS Leak Test。发现几个挺有意思的点：有些工具界面花哨但检测能力一般，有些名字相近但根本不是一回事，还有些对国内用户来说根本打不开。这篇文章我会把我实际测试的结果、方法论都分享出来，包括怎么选工具、怎么一步步做检测、结果怎么解读，以及万一发现泄露了该怎么处理。文章最后还会挂一个从各大论坛（V2EX、知乎这些地方）扒出来的高热度问答，都是真实用户关心的问题。

【本文目标】：帮你找到最适合自己的DNS泄露检测工具，掌握完整检测流程，正确解读检测结果。

【核心结论】（仅供参考）：

• 中文用户首选：ToDetect——国内直连、界面友好、检测全面
• 进阶用户搭配：DNSLeakTest——数据最透明，Extended Test能挖出更多细节
• 全面体检推荐：IPLEAK.NET——一站式搞定DNS+IP+WebRTC
• 技术研究必备：BrowserLeaks——浏览器指纹检测覆盖项目相当全面

目 录

• 1. DNS泄露检测是什么
• 2. 5款主流DNS泄露检测工具深度对比
• 3. DNS泄露检测实操教程
• 4. 检测结果完全解读指南
• 5. 发现DNS泄露后怎么办
• 6. 常见问题FAQ

1. DNS泄露检测是什么

1.1 先搞懂DNS泄露的原理

在说DNS泄露检测之前，得先搞清楚DNS是什么、泄露是怎么发生的。

DNS（Domain Name System）本质上就是互联网的”电话簿”。你输入一个域名（比如baidu.com），DNS负责把这个域名解析成IP地址（比如220.181.38.148）。这个过程发生在你访问任何网站之前，而且是在后台自动进行的。

正常情况下，你连接VPN之后，DNS查询应该走这条路径：

你的设备 → VPN加密隧道 → VPN的DNS服务器 → 目标网站

但有时候由于各种原因，DNS查询会绕过VPN，直接走本地网络：

你的设备 → ISP的DNS服务器（泄露） → 目标网站

这就导致一个问题：虽然你的IP被VPN隐藏了，但你的ISP、网络管理员，甚至中间人攻击者，依然可以通过DNS记录看到你访问了哪些网站。

1.2 DNS泄露和IP泄露有什么区别

很多人会把DNS泄露和IP泄露搞混。简单说一下区别：

IP泄露：你真实的公网IP地址被暴露了。表现为访问的网站看到了你本来的IP。

DNS泄露：你的DNS查询请求被ISP截获了。表现为DNS服务器列表里出现了本地ISP的地址。

打个比方：IP泄露像是你人在家里但门牌号被人看到了；DNS泄露像是你的电话本被人抄走了——你人没露面，但对方知道你给谁打过电话。

这两种泄露往往同时出现，但也可能单独发生。这也是为什么做检测的时候，最好把DNS泄露、IP泄露、WebRTC泄露都测一遍。

1.3 为什么DNS泄露比IP泄露更难察觉

DNS泄露有一个很讨厌的特点：肉眼不可见。

你换IP的时候，刷新一下浏览器，地址栏的IP就变了，感知很明显。但DNS是后台默默跑的，你根本不知道自己的DNS请求在往哪走。除非你专门用工具去测，否则很难发现。

这也是为什么很多用了好几个月VPN的人，直到账号被关联封禁了才反应过来——IP没问题，但DNS记录早就出卖了他们。

V2EX上有个帖子（使用 Clash 上网时应对 DNS 泄露的心得）讲的就是这个情况，博主配置了很完善的代理规则，但DNS泄露检测一跑，发现还是有一堆国内ISP的DNS服务器——这个问题藏得很深。

2. 5款主流DNS泄露检测工具深度对比

2.1 工具对比总览

先上一张表，把5款工具的核心参数放在一起对比：

这张表里有个细节值得注意：DNSLeakTest 和 DNS Leak Test 是两个不同的网站，名字很像，但域名不同。DNSLeakTest（dnsleaktest.com）更推荐，数据透明度更高；DNS Leak Test（dnsleaktest.net）是个老牌工具，但界面比较简陋。

2.2 ToDetect——中文用户首选

官网：todetect.cn

ToDetect 是我目前最推荐国内用户使用的一个DNS泄露检测工具，主要原因是它对中文用户非常友好。

核心优势：

首先，全中文界面。这一点对很多英文不太熟练的用户来说很关键。我之前推荐朋友用DNSLeakTest，他打开页面愣了半天，不知道该点哪个按钮。ToDetect就不存在这个问题，界面一看就懂。

其次，国内直连访问。其他几个工具多多少少都需要代理才能打开，ToDetect直接就能访问，对国内用户来说省了很多麻烦。

第三，检测项目很全。不只是DNS泄露，还顺带检测WebRTC泄露、IP泄露、IPv6状态、DNS-over-HTTPS支持情况等，基本上把常见的隐私泄露类型都覆盖了。

第四，结论比较直观。结果页有明确的”泄露/未泄露”标识，对新手比较友好。

需要注意的地方：

ToDetect的结果页可能有一些广告，毕竟是商业站点。不过这不算大问题，核心检测功能是完全免费的。

适用场景：

• 第一次做DNS泄露检测，不知道该用什么工具
• 国内用户日常隐私自检
• VPN连接后快速验证

2.3 DNSLeakTest——进阶用户最爱

官网：dnsleaktest.com

DNSLeakTest 是 VPN 圈子里公认的老牌DNS泄露检测工具，在各大技术社区口碑都不错。

核心优势：

数据透明度极高是它最大的特点。它会显示完整的DNS服务器列表，包括每个服务器的IP地址、国家、ISP名称、ASN号。ToDetect相对精简一些，只展示关键信息；DNSLeakTest则把所有数据都摊开给你看，适合想深入分析的用户。

提供两种测试模式：Standard Test（基础测试）和 Extended Test（深度测试）。基础测试大概30秒出结果，深度测试要2分钟左右，但能挖出更多细节。V2EX那个Clash DNS泄露帖子里，很多网友都是用 Extended Test 才发现了问题。

支持结果导出。部分版本可以下载CSV格式的检测结果，方便记录历史数据、追踪DNS泄露的变化趋势。

社区比较活跃。DNSLeakTest 官方有个论坛，用户会分享各种检测结果的分析和讨论。

需要注意的地方：

全英文界面，国内访问需要代理。另外有些结果字段需要一点技术背景才能理解，比如ASN号对普通用户来说没什么意义。

适用场景：

• 进阶用户深度分析DNS泄露情况
• VPN服务商DNS质量评估
• 想学习DNS泄露原理的技术爱好者

2.4 IPLEAK.NET——全能隐私体检

官网：ipleak.net

IPLEAK.NET 是一个综合性的网络隐私检测平台，DNS泄露检测只是它的功能之一。

核心优势：

检测项目非常全面。除了DNS泄露，还包括IP泄露检测、WebRTC泄露、端口检测、时区检测、地理位置验证等。

页面加载即自动检测，不用手动点击。打开网站稍微等几秒，所有检测结果就都出来了。

单独的 IPv6 检测区块。对国内用户来说，IPv6 相关的 DNS 泄露是个很常见的问题（后面会详细说），IPLEAK.NET 把这个单独列出来，便于排查。

需要注意的地方：

全英文界面，国内访问需要代理。另外作为一个综合平台，它在DNS泄露检测的深度上不如 DNSLeakTest。

适用场景：

• 需要全面隐私体检，不只是DNS泄露
• 关注VPN流媒体解锁能力
• 想同时排查IPv6泄露问题

2.5 BrowserLeaks——浏览器指纹专家

官网：browserleaks.com

BrowserLeaks 是个比较特殊的存在。它的核心能力不是DNS泄露检测，而是浏览器指纹检测。

核心优势：

浏览器指纹检测项目最全面。包括 Canvas 指纹、WebGL 指纹、Audio 指纹、字体指纹、屏幕指纹、时区指纹等。这些都是其他工具很少覆盖的项目。

值得一说的是 EFF（电子前哨基金会）运营的 Cover Your Tracks 项目（coveryourtracks.eff.org），它的检测逻辑是完全开源的。如果你在找具备开源特质的指纹检测工具，Cover Your Tracks 是个不错的参考。相比之下，BrowserLeaks 的技术文档很详尽，但核心检测代码并未开源。

技术文档非常详尽。每个检测项都有详细的技术解释，适合想深入了解浏览器隐私原理的用户。

独立的工具多。除了DNS泄露，BrowserLeaks 还提供 Canvas 指纹、WebGL 指纹等独立测试页面，可以单独测试某一个项目。

需要注意的地方：

BrowserLeaks 的核心不是DNS泄露检测，它的DNS泄露检测能力只能说够用但不突出。另外界面比较偏技术向，普通用户看结果可能会一头雾水。

适用场景：

• 技术用户深入研究浏览器隐私
• 需要了解完整的浏览器指纹暴露情况
• 开发者验证隐私保护措施的效果

2.6 DNS Leak Test——经典老牌

官网：dnsleaktest.net

DNS Leak Test 是最早一批DNS泄露检测工具之一，在VPN社区有比较长的历史。

这个工具本身没什么大问题，但整体来说比较简陋，没有DNSLeakTest的Extended Test，也没有IPLEAK.NET的综合体检功能。对于想深入分析的用户来说，它能提供的信息有限。

V2EX上有用户提到过，这个工具的方法论后来被其他工具广泛借鉴，所以它在历史上的地位更多是”开创者”而非”最好用”。

我的建议是：如果你用DNSLeakTest顺手了，可以偶尔用这个工具交叉验证一下，但没必要把它作为主力工具。

2.7 工具选择决策树

说了这么多，可能有人还是不知道该选哪个。我画了个简单的决策树：

第一步：你更看重什么？

• 全面隐私检测 → IPLEAK.NET 或 ToDetect
• DNS泄露专项深度检测 → DNSLeakTest
• 浏览器指纹检测 → BrowserLeaks

第二步：你能否直接访问外网？

• 可以 → 以上5款都可以用
• 不行 → ToDetect（唯一能直连的）

第三步：你的技术级别？

• 新手/普通用户 → ToDetect（简单直观）
• 进阶用户 → DNSLeakTest（数据详尽）

第四步：你的使用场景？

• 首次检测 → ToDetect
• 日常快速验证 → ToDetect
• 技术研究 → BrowserLeaks + DNSLeakTest
• 流媒体解锁检测 → 需要借助专门的流媒体检测平台

3. DNS泄露检测实操教程

3.1 使用ToDetect检测DNS泄露

ToDetect 是我最推荐国内用户从这儿开始的工具。操作最简单，中文界面，基本没有门槛。

步骤1：访问网站

打开你的浏览器（Chrome、Firefox、Edge都行），输入网址 todetect.cn/dns-leak/，回车进入。

步骤2：等待检测完成

点击开始检测之后，页面会进入检测状态，大概10-20秒完成。检测过程中不要刷新页面或者切换标签页。

步骤3：查看DNS泄露结果

检测完成后，滚动页面找到”DNS泄露检测”区块。结果一般会有明确的标识：

• 绿色标识 + “安全”/”未泄露”：表示DNS查询正常走VPN
• 红色或黄色标识 + “泄露”：表示存在DNS泄露

除了标识，还会显示具体的DNS服务器列表。如果列表里出现类似”China Telecom”、”China Unicom”、”China Mobile”这样的ISP名称，就说明DNS泄露了。

步骤4：查看其他隐私检测结果

ToDetect 会同时检测 WebRTC、IP、IPv6 等项目。这些结果在同一个页面往下滚就能看到，建议一并查看。

步骤5：截图记录

建议把这次检测结果截图保存。后续如果换了VPN节点、升级了配置，或者换了新的VPN服务商，可以再测一次做对比。

3.2 使用DNSLeakTest检测DNS泄露

DNSLeakTest 是进阶用户的首选。它的数据更详细，但操作稍微复杂一点。

步骤1：准备环境

确保你已经连接了VPN。然后打开浏览器，访问 dnsleaktest.com。如果国内打不开，需要先开代理。

步骤2：选择测试模式

首页会看到两个按钮：

• Standard Test（基础测试）：约30秒，快速出结果
• Extended Test（深度测试）：约2分钟，更全面

我建议第一次用 Extended Test，能看到更多细节。如果只是日常快速验证，Standard Test 也够用。

步骤3：运行测试

点击对应按钮后，页面会刷新并开始测试。耐心等待，不要关闭页面。

测试过程中可能会看到一串 DNS 服务器列表在刷新，那是正常现象。

步骤4：分析测试结果

测试完成后，页面会显示一张表格：

判断方法很简单：

• 如果所有服务器都来自你的VPN提供商（如第一行）→ 未泄露
• 如果出现国内ISP的名称（如第三行）→ 存在泄露

步骤5：下载结果（可选）

部分版本的DNSLeakTest提供CSV下载功能。点击”Download CSV”可以把结果保存下来，方便后续对比。

3.3 使用IPLEAK.NET检测DNS泄露

IPLEAK.NET 的好处是打开就自动检测，不用你点来点去。

步骤1：访问网站

连接VPN后，打开浏览器访问 ipleak.net。页面加载时会自动运行检测，大概10秒左右所有结果就出来了。

步骤2：查看DNS泄露结果

滚动页面找到”DNS Address”区块。会看到一列DNS服务器地址。

判断方法和其他工具一样：看这些DNS服务器是属于VPN提供商，还是属于国内ISP。

步骤3：使用 Torrent 端检测（可选）

IPLEAK.NET 还提供 Torrent 端地址检测，显示你的 BitTorrent 客户端在 DHT 网络中暴露的 IP 地址。如果这个地址显示的是你的真实 IP，说明存在 BitTorrent 流量泄露风险。

步骤4：关注IPv6区块

找到”IPv6 Address”区块，看看有没有显示国内IPv6地址。如果IPv4正常但IPv6泄露，也需要处理（后面会详细说IPv6泄露的问题）。

3.4 使用BrowserLeaks补充检测浏览器指纹

DNS泄露检测工具一般只测DNS，但浏览器指纹是另一个维度的隐私泄露。这块 BrowserLeaks 是做得最专业的。

步骤1：访问BrowserLeaks

打不开外网的话这步跳过。访问 browserleaks.com，首页会列出各种检测工具入口。

步骤2：运行Canvas指纹检测

Canvas指纹是个比较隐蔽的泄露点。点击”Canvas”区块，页面会生成一个指纹哈希值。

这个指纹有什么用呢？即使你换了IP、做了DNS泄露防护，如果你的浏览器Canvas指纹是独一无二的，网站依然可以通过这个指纹把你多个账号关联起来。

实际上，在相同硬件架构、显卡驱动和操作系统下，Canvas 指纹渲染结果高度一致是完全正常的。如果使用了劣质隐私插件导致每次刷新页面指纹都在随机变化（Canvas Spoofing），反而会触发目标网站的反欺诈风控系统。安全的做法是保持设备指纹的稳定，而非刻意制造差异。

步骤3：运行WebGL指纹检测

WebGL指纹会暴露你的显卡信息。这个字段高度可辨识，很多设备都是独一无二的。

普通用户看到这个可能不知道啥意思，但技术用户可以在这里学到很多浏览器指纹的知识。BrowserLeaks 的文档部分写得很详细，感兴趣的话可以研究一下。

3.5 多工具交叉验证

单独用一个工具测完不代表就万事大吉了。我建议用至少两个工具交叉验证。

为什么需要交叉验证？

V2EX上有个帖子提到过，有人用 ToDetect 测显示安全，用 DNSLeakTest 测却发现泄露了。这种情况其实挺常见的，原因可能是：

• 工具的检测精度不同
• 检测时机不同（VPN刚连接时DNS可能还没完全切换）
• IPv6泄露被某个工具检测到了，另一个没检测

交叉验证建议：

1. 用ToDetect做第一次检测（简单快速）
2. 用DNSLeakTest的Extended Test做第二次检测（深入分析）
3. 用IPLEAK.NET检查IPv6情况

三次检测里如果有两次以上显示泄露，就基本可以确认了。

4. 检测结果完全解读指南

4.1 正常结果长什么样

先说说什么是正常、安全的DNS泄露检测结果。

完全安全的结果特征：

1. DNS服务器列表里全是VPN提供商的服务器，不包含任何ISP的名称
2. IP地理位置与VPN节点一致（连的美国节点，显示的就应该是美国的DNS）
3. IPv4和IPv6结果一致（或者IPv6功能已禁用）
4. WebRTC不显示你的真实IP

举个例子，如果你连的是美国节点的VPN，DNS泄露检测显示的应该都是美国地址的VPN DNS服务器，不应该出现任何”China Telecom”、”China Unicom”这样的字眼。

4.2 泄露结果长什么样

再说说什么情况算是DNS泄露了。

泄露的判断标准：

DNS服务器列表里出现了国内ISP的DNS服务器，常见的有：

• 中国电信相关：China Telecom、Chinanet、telecom.cn
• 中国联通相关：China Unicom、China169
• 中国移动相关：China Mobile、cmcc
• 阿里云相关：Alibaba Cloud Computing
• 腾讯云相关：Tencent Cloud Computing

泄露的几种类型：

完全泄露：所有DNS服务器都是国内ISP的。这意味着你所有的DNS查询都在裸奔，VPN对你的DNS请求没有任何保护作用。

部分泄露：DNS列表里既有VPN服务器，也有国内ISP服务器。常见原因是IPv6泄露——IPv4走VPN了，但IPv6走本地。

临时泄露：偶尔检测到ISP的DNS服务器，但重新检测后又正常了。这种情况可能是网络波动或者VPN刚连接时DNS还没完全切换到加密隧道，不一定是真正的问题。

4.3 IPv6导致的假阳性

这是国内用户特别需要注意的一个问题。

为什么IPv6容易导致假阳性？

国内IPv6普及率在逐步提高，但很多VPN对IPv6的支持并不完善。结果就是：IPv4走VPN，IPv6走本地DNS。这就是”部分泄露”的典型情况。

怎么检测IPv6泄露？

用IPLEAK.NET，页面会自动显示IPv6地址。如果这个地址显示的是国内（比如中国），说明IPv6存在泄露。

怎么解决IPv6泄露？

方法一：禁用IPv6（最简单）

Windows：

1. 控制面板 → 网络和共享中心
2. 点击当前连接 → 属性
3. 找到”Internet协议版本6 (TCP/IPv6)”，取消勾选

macOS（较新版本，macOS 13 Ventura 及之后）：

1. 系统设置 → 网络
2. 点击正在使用的网络连接 → 详细信息
3. TCP/IP 配置 IPv6 下拉菜单中，已没有”关闭”选项，可选”仅本地链路”限制 IPv6 行为
4. 若要彻底关闭 IPv6，需要通过”终端（Terminal）”执行命令：networksetup -setv6off “Wi-Fi”（将”Wi-Fi”替换为实际的网络接口名称）

macOS（较老版本，macOS 12 Monterey 及之前）：

1. 系统偏好设置 → 网络
2. 点击当前连接 → 高级
3. TCP/IP
4. 配置IPv6选择”关闭”

方法二：启用VPN的IPv6泄露保护

部分VPN客户端有这个功能，在设置里找一下”IPv6 Leak Protection”，开启就行。

禁用IPv6对普通用户来说影响不大，毕竟国内大部分网站还是IPv4为主。如果你不确定自己的IPv6使用情况，可以先禁用，测几天看看有没有什么问题。

4.4 假阳性情况说明

有些时候，检测结果显示”泄露”，但实际可能并没有真正的问题。这就是假阳性。

常见的假阳性场景：

VPN刚连接时：DNS还没有完全切换到VPN线路上，可能短暂显示泄露。解决方法：连接VPN后等30秒再检测。

网络环境切换时：刚切换了WiFi、重新拨号、或者重启路由器后，DNS配置可能还没稳定。解决方法：稍等几分钟后再测。

Smart DNS 或 Anycast 路由策略导致：某些公共 DNS 使用任播技术（Anycast），或者网络环境中配置了 Smart DNS 服务，解析请求可能被路由到非本地的其他服务器节点，而非你的 ISP。解决方法：用多个工具交叉验证。

怎么排除假阳性？

1. 等待30秒到1分钟后重新检测
2. 换用另一个工具验证
3. 关闭VPN先测一次作为基准线
4. 连续测3次，如果2次以上都泄露，基本就是真的了

4.5 结果记录模板

建议每次检测都记录一下，方便后续对比和追踪问题。

5. 发现DNS泄露后怎么办

5.1 紧急止损

如果检测发现DNS泄露，首先做这几件事：

1. 断开VPN重新连接

最简单粗暴的方法。断开当前VPN，等几秒，重新连接。连接后再测一次。

2. 更换VPN节点

有时候问题出在特定节点上。换一个节点试试，比如从美国换到日本。

3. 清除浏览器会话

关闭所有浏览器窗口，清除Cookie和缓存，重新打开浏览器。有些泄露可能是持久会话导致的。

4. 如果仍无法解决

可以考虑暂时停止敏感操作，或者联系VPN服务商反馈问题。某些VPN的DNS配置确实有问题，可能需要等官方更新。

5.2 更换VPN配置

如果VPN层面的调整有限，可以从操作系统层面加固DNS安全。

检查VPN内置DNS设置：

打开VPN客户端的设置界面，找”DNS设置”或”DNS Preference”相关的选项。确认是否勾选了”使用VPN DNS”或类似选项。

有些VPN默认使用ISP的DNS而不是自有DNS，这就需要手动改成VPN提供的DNS地址。

更换VPN协议：

不同VPN协议的DNS处理能力不同：

• WireGuard：通常DNS处理比较安全
• OpenVPN：需要额外配置
• IKEv2：一般没问题
• L2TP/IPSec：在某些配置下存在DNS泄露风险（如Windows默认配置可能不强制DNS走隧道）

如果你的VPN支持切换协议，可以试试换成WireGuard。

使用自定义DNS：

部分VPN支持手动指定DNS地址。可以尝试以下公共DNS：

• Cloudflare：1.1.1.1 / 1.0.0.1
• Google：8.8.8.8 / 8.8.4.4
• Quad9：9.9.9.9（主打安全）

5.3 系统级DNS防护

如果VPN层面的调整有限，可以从操作系统层面加固DNS安全。

Windows 11启用DNS-over-HTTPS：

注意：Windows 11 开启 DoH 需要在”设置”界面中操作（控制面板的 IPv4 属性里只有静态 DNS 地址，没有 DoH 开关）。

1. 设置 → 网络和 Internet → WLAN（或”以太网”）
2. 点击正在使用的网络连接
3. 在”DNS 服务器分配”旁点击”编辑”
4. 选择”手动”
5. 开启 IPv4
6. 输入支持 DoH 的自定义 DNS（如 1.1.1.1 / 1.0.0.1）
7. 下方会出现”DoH 提供商”选项，选择开启即可

浏览器级DNS加密：

Chrome：设置 → 隐私和安全 → 安全 → 启用”使用安全DNS”

Firefox：设置 → 隐私和安全 → DNS over HTTPS → 启用并选择提供商

路由器DNS设置：

如果你的路由器系统支持高级配置（如刷入了 OpenWrt、DD-WRT 或梅林等固件），可以在路由器上开启并配置 DoT (DNS over TLS) 或 DoH (DNS over HTTPS) 服务，将上游指向 1.1.1.1。需要注意的是：普通消费级路由器界面里单纯修改 DNS 地址为 1.1.1.1，查询请求依然是基于 UDP/TCP 53 端口的明文传输，无法实现流量加密，只有显式开启 DoT/DoH 才有加密效果。

5.4 长期防护体系建设

定期检测频率建议：

VPN选择标准：

好的VPN应该具备这些DNS相关能力：

1. 自有DNS服务器（非租用ISP的）
2. DNS泄露保护功能
3. Kill Switch（VPN断开时自动断网）
4. DNS-over-HTTPS或DNS-over-TLS支持
5. 明确的无日志政策

进阶方案：使用专用DNS分流工具：

对于技术用户，可以用MosDNS等工具做更精细的DNS分流管理。V2EX上有不少帖子讨论这个，Clash配合MosDNS可以实现很精确的DNS控制。不过这个方案有一定门槛，普通用户可能不太需要。

6. 常见问题FAQ

Q1：免费工具够用吗？要不要买付费的检测工具？

A：免费的完全够用了。本文推荐的5款工具——ToDetect、DNSLeakTest、IPLEAK.NET、BrowserLeaks、DNS Leak Test——都是完全免费的，不需要注册，也没有任何付费功能。DNS泄露检测的工作原理其实需要前后端配合才能完成：前端网页脚本会生成多个随机且唯一的子域名（例如 uuid1.dnsleaktest.com、uuid2.dnsleaktest.com…）并通过浏览器的 fetch 请求访问这些地址；后端服务器会同时记录 HTTP 请求的来源 IP 以及 DNS 查询日志——如果 DNS 查询日志显示请求来自你的本地 IP（而非 VPN 出口 IP），则说明存在 DNS 泄露；如果请求被正确路由到 VPN DNS，则显示为安全。因此，检测工具依赖后端定制的 DNS 服务器资源来捕获请求日志，并非纯前端操作。

有一点要区分：检测工具免费，但如果你的VPN本身DNS质量不行，解决问题可能需要升级VPN服务。

Q2：DNS泄露检测需要安装软件吗？

A：不需要，所有工具都是网页版。这些DNS泄露检测网站的原理是通过JavaScript脚本检测浏览器的DNS查询行为，只需要打开浏览器访问网址就行，设备上不需要安装任何软件。用Chrome、Firefox、Edge、Safari等主流浏览器即可。

Q3：VPN显示已连接，但DNS泄露检测还是泄露，这是怎么回事？

A：常见原因有几种：一是VPN的DNS配置有问题，默认用了ISP的DNS而不是自有DNS；二是IPv6泄露，VPN保护了IPv4但IPv6走了本地，这个非常常见，建议禁用IPv6或开启IPv6泄露保护；三是某些安全软件强制接管了DNS设置，可以检查一下。

Q4：公共Wi-Fi需要检测DNS泄露吗？

A：需要。公共Wi-Fi的DNS设置不受你控制，可能存在网络管理员监控、DNS劫持甚至中间人攻击等风险。在公共Wi-Fi下浏览敏感内容前，建议先用检测工具测一下。如果检测出现本地 ISP 的 DNS 服务器，应判定为全局流量未被成功接管，存在真实暴露风险，建议切换至手机热点或开启 VPN。

Q5：浏览器开了安全DNS（比如DoH），还需要做DNS泄露检测吗？

A：需要，而且更要注意。浏览器安全DNS只能保护这一个浏览器的DNS请求，系统其他应用或VPN内部的DNS请求可能还是走明文的。另外，浏览器和VPN各自开了DoH，两者解析结果可能不一致，导致某些域名解析到意外的地方。所以DNS泄露检测测的是全局DNS行为，和浏览器开不开DoH是两回事。

结语

写这篇的时候我把主流的DNS泄露检测工具基本都过了一遍，最大的感受是：工具本身不复杂，难的是理解背后的原理和养成定期检测的习惯。

IP泄露看得到，换个节点就好了。DNS泄露看不见，但危害可能更大——你的浏览记录正在被ISP或者网络管理员默默记录着。

我的建议：

1. 现在就去跑一下DNS泄露检测，就用ToDetect，中文界面，三分钟的事
2. 如果发现泄露，先断VPN重连试试，不行就换节点
3. 长期来说，养成每次连VPN后顺手测一下的习惯
4. 如果用的是代理工具（比如Clash），建议研究一下V2EX那个帖子里提到的DNS配置方案

希望这篇对你有帮助。如果还有问题，欢迎讨论。