网络基础：DNS 篇

(本文是17外贸网的手敲原创文章，转载请注明出处，谢谢！)

---

1. 什么是 DNS 解析？

DNS 解析（Domain Name System Resolution）是 DNS 服务器将人类可读的域名（如 www.tiktok.com）转换为计算机网络通信所需的 IP 地址（23.46.216.80）的过程。

也就是说当你访问网站的时候，需要先通过 DNS 服务器解析出域名的 IP 地址，才能去访问 this IP 服务器，才能正常获取到网站的内容。

2. 有哪些常用的 DNS 服务器？

家庭宽带：

电脑通常从路由器获取 DNS。路由器会再将解析请求转发给你的运营商（如电信、联通、移动）的本地 DNS 服务器。

国内常用：

阿里云 DNS（223.5.5.5）

腾讯 DNSPod（119.29.29.29）

114DNS（114.114.114.114）

国外常用：

Google DNS（8.8.8.8）

Cloudflare DNS（1.1.1.1）

3. 什么是 DNS 污染？

如果你使用本地网络 ping www.tiktok.com 会得到如下结果：

PING www.tiktok.com (185.45.5.35)： 56 data bytes

然而这实际上是一个 假 IP，所以你无法访问 TikTok。

也就是说你访问 www.tiktok.com 的时候，如果域名解析使用的是国内的 DNS 服务（无论是运营商，阿里云，腾讯云等的 DNS 服务器），会被 GFW 劫持，返回一个假 IP（不总是固定），从而导致你无法访问到目标网站的服务器。这种网络屏蔽技术这就是 DNS 污染。

4. 如何解决 DNS 污染？

方案一

聪明的你一定想到了，既然国内的 DNS 服务器被污染了，那么我使用国外的 DNS 服务器是不是就可以了？

然而比你更聪明的人早就想到了这一点，只要你是走的国内的网络，GFW 通杀国内外 DNS 解析。如果使用 DoH/DoT 方案，依然被干扰的很不稳定，所以你指望寻找一个没有被污染的 DNS 服务器来绕过网站屏蔽，可以明确的告诉你，此路不通。

方案二

那么更更聪明的你又想到了，如果提前把我需要访问的网站的域名的 IP 解析出来，不依赖 DNS 解析是不是就可以突破封锁屏蔽了？

厉害了老铁。这就是传说中的 HOSTS 文件翻墙。曾经对于一些大厂，比方谷歌，他的 IP 非常多你只要找到国内没有屏蔽的 IP，然后写到 HOSTS 文件里，就可以正常访问了。曾几何时有一些技术达人每天都在不断更新维护 HOSTS 文件，来实现无成本翻墙方案。

但是现在没这样的可能性了。所有的 IP 都被屏蔽的干干净净。很难找到漏网之鱼了。

方案三

即便是有未被封锁的漏网之鱼，你也用不了。因为第三招叫做 SNI 阻断。

当你拿到真实 IP 并开始建立 HTTPS 连接时，在握手阶段，客户端会发送一个 SNI 字段（比方说 www.tiktok.com），告诉服务器你想访问哪个域名。SNI 字段在传统的 TLS 1.2 及更早版本中是明文传输的。所以即便你拥有真实的 IP，如果你想要访问被墙的网站，GFW 在 SNI 中看到你访问了被屏蔽的网站，依然可以阻断。

在 TLS 1.3 中，虽然提供了对 SNI 加密的方案（ECH），但默认 SNI 依然是明文，而且目前 GFW 已经开始对于 ECH 方案进行干扰阻断了，非常不稳定。

方案四

最终，你只能找到一个未被封锁的 VPS/服务器（你的 DNS 解析也是从这发出的），你通过它来帮你访问目标网站，并把内容返回给你。也就是我们常说的 科学上网。

但是即便如此，你也会遭遇用来科学上网的服务器的 IP 被封锁的情况，也就是我们常说的 IP 被墙（也会存在仅墙端口的情况）。

5. 什么是 DNS 泄露？

DNS 泄露（DNS Leak）是指在使用了 VPN、代理或其他加密隐私保护工具的情况下，设备的 DNS 请求（即将网址转换为 IP 地址的过程）未能通过加密隧道，而是意外地发送到了互联网服务提供商（ISP）的本地 DNS 服务器上。

我用大白话来解释一下：当我访问 www.tiktok.com 时，首先要进行 DNS 解析，如果因为某种原因走了国内的 DNS 来解析，那么我的真实 IP 和访问记录就会泄露给 DNS 服务器。这就是所谓的 DNS 泄露。

对于 TikTok 而言，是完全是不会因为所谓的 DNS 泄露而得到你的真实 IP 的。因为 TikTok 在 DNS 污染的名单之中，你如果使用国内的 DNS 解析 TikTok 域名，不要说 IP 泄露给 TikTok 了，你甚至根本无法访问 TikTok。

你的 IP 和访问记录泄露给了国内 DNS 服务器！！！

你的 IP 和访问记录泄露给了国内 DNS 服务器！！！

你的 IP 和访问记录泄露给了国内 DNS 服务器！！！

之所以要解释 DNS 泄露，是因为原本我认为这只是一个对大众而言无关紧要的技术问题。大众真的在意国内的运营商知道你访问了被屏蔽的网站吗？实际上运营商什么都知道，你想要让运营商不知道你有访问被屏蔽的网站的行为，那么这已经不光是一个技术问题了，还需要你极其的自律。

但是当我反复多次被问及 DNS 泄露相关问题的时候，我才发现我把这问题想简单了。各种营销神棍在不断的误导公众，让很多人误以为 DNS 泄露，是指用户的真实 IP 泄露给了目标网站。并把 TikTok 的风控问题和 DNS 泄露进行关联，以便建立关系，建立信任，从而诱导用户更换服务商。

当这样的营销话术广泛的传播以后，甚至影响到了 AI 的响应。我已经亲眼见到小红书的 AI 总结（甚至正统 AI 平台）出现把 TikTok 的风控问题归因到 DNS 泄露上的情况了。比 AI 信息错误更让人无奈的是，目前越来越多的人对 AI 的给出的答案深信不疑。当一个完全不懂技术却又被 AI 肯定了自己对 DNS 泄露的认识以及危害的时候，他就拥有了钢铁般的意志。他宁可相信一个写了十几年代码的老码农连基础网络知识都不懂，也不会相信自己对技术的了解有误，更不会相信 AI 给出答案有误。

6. 这一营销话术是怎么来的？

如果你熟悉海外的 VPN 服务商，你会发现他们的网站都提供各种 IP 信息，DNS 泄露情况的在线检测页面。他们把 DNS 泄露检查的页面弄的非常吓人。因为在欧美，网络服务提供商（ISP）有收集并出售用户浏览记录的合法权利。老外用 VPN 主要是为了隐私（不让运营商知道自己看了什么网站，比如盗版电影、成人网站等），而不是为了翻墙。

对于国内的特殊网络环境而言，如果把 DNS 配置错误根本不是什么 DNS 泄露隐私的问题，而是会让你压根无法科学上网的问题。而国内的营销人员把 DNS 配置不当会向当地运营商泄露隐私扭曲成目标站点或 APP 能通过 DNS 泄露得知你的真实 IP。历经十几年的发酵，这甚至成为了很多人认为的“常识”。实际上,几乎所有的服务商都是从出口服务器进行 DNS 解析，所以无论你采用哪家服务商的你都不用担心所谓的 DNS 泄露。

除了 DNS 泄露，还有一些人可能知道一些检测网站会显示你的 DNS 和 IP 地理位置不一致，把这作为一个风险点（如果你采用分流模式上网，必然会出现）。对于 TikTok 而言你都装了他的 APP 了，他有无数中简单准确的识别手段，根本不需要这么复杂又流氓的方案去判断你是否使用代理。

最后，我也为营销人员做一点轻度辩护，因为绝大部分的营销人员不存在技术背景，很多后来的人也只是听信了前人的说法，大部分人不是明知故骗。但是这套说辞一旦符合了自身的利益，那么也非常乐意拿来讲故事做营销。