看清谁在回答你的
DNS 问题。

什么是 DNS 泄漏

当你打开网页时,会发生两件事:DNS 查询把主机名变成 IP,然后真正的流量走 TCP。VPN 一般会把两边都装进隧道。「泄漏」指的是 TCP 流量走了 VPN,但 DNS 查询直接发给家里的 ISP,把你访问过的网站清单暴露给监听这家 ISP 的人。有些 VPN 开箱即可正确处理,很多则不行。

你看到什么

每个活跃解析器一行。列:解析器 IP、国家旗帜、ISP / 运营商,以及一个协议徽章(Do53、DoH、DoT,取决于你的 Mac 协商出什么)。Mac 正在询问的解析器排在前面,缓存条目在下面。

跨国泄漏是最明显的红旗

如果列表里两个解析器位于不同国家,Mac 就在分裂 DNS 流量。最常见的样子是:国家 A 的 VPN 解析器 + 国家 B 的本地 ISP 解析器。本地解析器就是泄漏点。DNS Leak Test 会在那一行打上 leak 徽章,你不会错过。

怎么修泄漏

三种办法,按修得有多彻底排序:

• 用一个会强制把 DNS 走隧道的 VPN 客户端。大多数现代 WireGuard 或 Tailscale 配置都能做到;检查「DNS」或「Force tunnel DNS」开关。
• 在「系统设置 → Wi-Fi → 详细信息 → DNS」里设全系统 DNS。挑一个尊重隐私的解析器(1.1.1.1、9.9.9.9 或你 VPN 提供商的)。把 ISP 解析器从局里踢出去。
• 在 Safari 里打开 DNS-over-HTTPS,或用 Cloudflare WARP。这只是按应用修,不是全系统的,但只关心浏览的话最简单。

与 ISP Report 配套

ISP Report 告诉你流量从谁的网络出去。DNS Leak Test 告诉你DNS 走的是谁的网络。如果这两个答案是不同的 ISP,你就漏了。觉得哪里不对劲时,把它们并排打开。

在应用里去哪找

点菜单栏图标,滚到 popover 底部的 Insights。DNS Leak Test 在中间一排。网络一变列表就会刷新;点 Refresh 强制重新测试。

TL;DR

不把 DNS 装进隧道的 VPN,照样会把你访问的网站清单漏出去。DNS Leak Test 显示你的 Mac 用的每一个解析器,标出跨国泄漏,告诉你 VPN 是不是真的在做你掏钱的事。