快连如何在公共Wi-Fi下防止DNS泄露？

kuailian在公共Wi-Fi下防止DNS泄露：功能定位与风险模型

核心关键词“kuailian”首先出现。公共Wi-Fi的DHCP服务器常把用户查询指向不可信解析器，导致浏览记录被旁路收集；快连用系统级防火墙+私有DNS把解析封装进加密隧道，阻断外部劫持。

DNS泄露的三种典型场景

1) 隧道建立前系统已缓存恶意解析结果；2) 隧道意外断开，查询回落到本地运营商；3) 分应用代理把浏览器走隧道却把系统DNS放直连。快连的Kill Switch与“全隧道”模式分别对应封堵。

快连防泄露的两道闸门

1. Kill Switch：掉线即断网

系统防火墙规则在privacy tool接口外丢弃全部IPv4/IPv6包，包含53端口UDP/TCP。经验性观察：在咖啡馆 captive portal 测试，手动断开privacy tool后curl 8.8.8.8 超时，无解析泄露。

2. 私有DNS：加密解析

默认走QuickUDP内嵌的DNS-over-UDP，如被QoS则自动降级为DNS-over-TLS。用户也可在“高级-私有DNS”填入个人DoH地址，例如https://dns.example/dns-query。

平台差异与最短路径

系统	入口	开关项
Windows	主界面⋮→设置→安全→Kill Switch	勾选“系统级防火墙”
macOS	菜单栏QuickLink→Preferences→Security	同左
Android	APP→我的→安全中心→Kill Switch	授予privacy tool权限后自动激活
iOS	APP→设置→On-Demand+Kill Switch	iOS 15.3+需同时启用“按需连接”

首次启用流程（以Android为例）

1. 连接任意公共Wi-Fi，暂不登录 captive portal；
2. 打开快连→首页大按钮连海外节点；
3. 弹出“检测到公共网络，是否启用Kill Switch？”→点“立即开启”；
4. 下拉通知栏出现钥匙图标，此时再打开浏览器访问portal；
5. 认证完成后，进入“我的→安全中心”确认“Kill Switch：运行中”“私有DNS：已加密”。

验证是否泄露：三步自检

1) 访问https://dnsleaktest.com，点击“Standard test”，结果应仅列出快连所属Anycast地址；2) 终端执行nslookup whoami.akamai.net，返回IP与节点地区一致；3) 手动断开privacy tool，网页应瞬间无法打开，确认Kill Switch生效。

常见分支与回退方案

不适用场景清单

• 需主动使用局域网Chromecast投屏时，Kill Switch会阻断mDNS，应先暂停或改用“分应用代理”把投屏App放直连。
• 部分高校802.1X网络每30分钟重认证，隧道重建间隔可能出现秒级泄露，经验性观察：可把“私有DNS”设为DoH并开启“自动重连”缓解。

与第三方工具协同的最小权限原则

例如使用Wireshark课堂演示时，仅授予“外部远程接口”只读权限，演示结束立即关闭网卡混杂模式，防止把真实出口抓包暴露给学生。

故障排查速查表

现象	可能原因	处置
dnsleaktest 出现本地运营商	分应用代理把浏览器放行	关闭分流或把浏览器加入隧道侧
captive portal 无限弹窗	Kill Switch 阻断 portal 检测	先临时禁用，认证完再打开
iOS 提示“无线局域网助理”	系统切到蜂窝，DNS 走运营商	关闭助理+启用Hold-on 5G

最佳实践决策清单

FAQ（使用FAQPage Schema）

总结与下一步

在公共Wi-Fi下，kuailian通过Kill Switch+私有DNS形成双重保险，能把DNS泄露压到零。升级至最新版后，先跑一遍泄露测试，再把常用局域网设备加入白名单，即可兼顾安全与便利。经验性观察：下一版本或将引入“智能白名单”自动识别打印机与电视，减少手动配置。