使用 VPN 时的确认步骤
不是只要安装就能放心的工具。
是否已连接。 DNS 是否经过预期路径。 VPN 断开时是否不会回到普通线路。 同一浏览器中的 和登录状态是否没有残留。
确认这些点之后,才更容易判断 VPN 是否按预期使用。
本文整理使用 VPN 前后的确认流程。
首先决定目的
在确认 VPN 之前,先决定目的。
是想在公共 Wi-Fi 上保护通信吗。 是不想让连接目标看到自宅 IP 吗。 是不想让 ISP 直接看到连接目标吗。 是想使用特定国家或地区的服务器吗。
目的模糊时,需要确认的点也会模糊。
| 目的 | 要确认的事 |
|---|---|
| 公共 Wi-Fi 对策 | VPN 连接、HTTPS、终端设置 |
| 不容易暴露自宅 IP | 连接目标看到的 IP |
| 避免 DNS 泄漏 | DNS 查询路径 |
| 防止 VPN 断开时泄漏 | Kill Switch |
| 想提高匿名性 | Cookie、登录状态、浏览器分离 |
VPN 会因目的不同而改变需要看的地方。
VPN 的目的越明确,越容易确认。 是不想让连接目标看到自宅 IP,还是想减少公共 Wi-Fi 上同一网络内的窥探,还是想让 ISP 更难直接看到连接目标,需要确认的位置会不同。
“想提高匿名性”这个目的本身太宽。 VPN 主要改变的是通信路径和连接来源 IP 的可见方式。 Cookie、登录状态、、发帖内容、文件、时间要另外确认。
连接前确认
连接 VPN 前,先确认环境。
- 是否没有使用登录了实名账号的浏览器
- 是否使用匿名用浏览器
- VPN 应用是否从官方网站或正规商店安装
- 是否确认了自动连接和 Kill Switch 设置
- 是否确认 DNS 设置会走 VPN 侧
VPN 的确认并不只看 VPN 应用。 也要一起看浏览器和账号状态。
如果省略连接前确认,连接 VPN 后就会直接使用实名环境。 在登录了实名 SNS 的浏览器、平时的邮箱、浏览器同步、云同步仍在运行的状态下,即使 IP 改变,与本人的连接仍会留下。
使用 VPN 前,不仅要整理通信路径,也要整理作业环境。 打开匿名用浏览器,关闭实名账号,停止同步,确认 Kill Switch,要把这个顺序固定下来。
连接后确认 IP
连接 VPN 后,确认连接目标看到的 IP 地址。
这里要确认的是,“看起来是否不是自宅或职场的 IP,而是 VPN 服务器的 IP”。
不过,访问 IP 确认网站本身也会成为访问历史。 在高风险状况下,也要考虑用于确认的网站和时机。
即使 IP 改变了,也并不意味着匿名性已经完成。 接下来要确认 DNS 和浏览器状态。
WhatIsMyIP 是可以确认网站侧看到的当前公网 IP 地址的验证网站。 比较 VPN 连接前后显示的 IP 地址,更容易确认连接目标看到的 IP 是否变成了预期的 VPN 服务器。
URL : https://www.whatismyip.com/
IP 确认看的不只是是否为预期国家或地区。 要确认是否没有显示自宅线路、职场线路、学校线路、移动线路的 IP。 如果已经变成 VPN 服务器的 IP,那么连接目标看到的 IP 已经改变。
不过,访问 IP 确认网站的历史也会留下。 在高风险状况下,不要从实名环境进行确认用访问。
确认 DNS 泄漏
DNS 泄漏,是指明明使用了 VPN,DNS 查询却走向非预期路径。
如果 DNS 查询走向普通 ISP 一侧,就会通过另一条路径看到试图访问哪个域名。
使用 VPN 时,要通过 DNS 泄漏测试或 VPN 应用设置,确认 DNS 是否经过 VPN 侧。
DNS 泄漏的详细机制会在另一篇文章中处理。
如果存在 DNS 泄漏,即使网页正文经由 VPN,也可能让通常线路侧看到试图访问哪个域名。 当 VPN 的目的是“让 ISP 更难直接看到连接目标”时,这是很大的问题。
DNS 泄漏确认中,要看是否使用 VPN 运营商的 DNS,OS 或浏览器是否使用了其他 DNS 设置。 浏览器可能有独自的 DNS 设置,因此不仅要确认 VPN 应用,也要确认浏览器设置。
DNSLeakTest 是可以确认 DNS 查询被发送到哪些 DNS 服务器的验证网站。 它可以作为入口,用来查看 VPN 连接中是否显示了平时 ISP 侧的 DNS。
URL : https://www.dnsleaktest.com/
确认 Kill Switch
Kill Switch 是 VPN 连接断开时,防止通过普通线路通信的功能。
即使 VPN 瞬间断开,浏览器和应用也会继续尝试通信。 这时如果回到普通线路,原本的 IP 地址可能暴露。
如果 VPN 应用有 Kill Switch,就要启用。 不过,功能名称和行为会因服务而不同。 需要确认实际如何运作。
Kill Switch 是为了减少 VPN 断开瞬间泄漏的功能。 浏览器、聊天、云同步、OS 通信,会在 VPN 断开后仍试图继续通信。 这时如果回到普通线路,连接目标可能看到原本的 IP 地址。
不仅要在设置画面中启用,也要确认它会停止哪些范围。 是按应用单位,还是整个终端,重启后是否仍有效,是否防止 VPN 启动前通信,都要查看。
确认浏览器和登录状态
VPN 确认中容易遗漏的是浏览器。
即使 VPN 改变了 IP,只要同一个 Cookie 被发送,就会被当作同一个浏览器处理。 如果登录实名账号,行为就会与账号连接。
要确认的事:
- 是否使用匿名用浏览器
- 是否没有登录实名账号
- Cookie 和 是否没有残留
- 浏览器同步是否没有启用
- 扩展功能是否与实名环境不同
VPN 是网络确认。 在匿名性中,也需要确认浏览器。
即使 VPN 改变了 IP,只要使用同一个浏览器,就会发送同一个 Cookie。 如果登录实名账号,服务侧会把行为记录为本人的行为。 如果浏览器同步有效,历史记录和书签也可能与实名环境混在一起。
VPN 确认中,要分开网络确认和浏览器确认。 不是 IP 改变了就安全。
使用后确认
VPN 使用后也要确认。
- 关闭 VPN 后是否没有打开匿名用网站
- 下载的文件是否没有元数据
- 是否没有把匿名活动历史带入实名浏览器
- 匿名用文件是否没有进入云同步
匿名性不是只在连接中存在的问题。 要按使用前、使用中、使用后的流程来思考。
使用后确认中,要看是否没有把匿名用历史带入实名侧。 下载文件、截图、浏览器历史、云同步、复制的 URL 可能留在实名环境中。 关闭 VPN 后打开匿名用网站时,也可能从普通线路访问。
VPN 确认的限制
即使确认了 VPN,也不保证匿名性。 VPN 运营商作为通信中继点会汇集信息。 连接目标服务会收到 Cookie、登录状态、浏览器信息、发帖内容。 发帖时间、文体、文件元数据也会留下。
| 可以确认的事 | 需要另外确认的事 |
|---|---|
| IP 的可见方式 | Cookie 和登录状态 |
| DNS 路径 | 浏览器独自设置和搜索历史 |
| 断开时行为 | 发帖内容和文体 |
| VPN 应用设置 | 文件、图片、元数据 |
VPN 确认是必要的。 不过,它只是匿名运营整体的一部分。
总结
VPN 不是连接后就结束。
需要决定目的,确认连接前环境,连接后确认 IP、DNS、Kill Switch、浏览器状态。
即使 VPN 改变了 IP,Cookie、登录状态、浏览器同步、文件元数据、发帖内容也会作为其他问题留下。
VPN 确认不仅要看网络,也要包括浏览器、账号、文件、使用后的行为。
相关工具
WhatIsMyIP
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
DNSLeakTest
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
BrowserLeaks WebRTC
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
BrowserLeaks Fingerprint
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
EFF Cover Your Tracks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Proton VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://protonvpn.com/
Mullvad VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://mullvad.net/