IP 泄露检测
「IP 泄露」指你在使用代理 / VPN 时,真实 IP 或真实归属仍通过其他途径被暴露——最常见的是 WebRTC(浏览器直接暴露真实 IP)和 DNS 泄露(暴露真实解析器)。
本工具一站把这些查清:检测到的公网出口 IP、WebRTC 是否暴露了不一致的真实 IP、DNS 解析器是否泄露真实归属。匿名上网前先测一遍,别让代理白做。
你的公网出口 IP
7 源交叉验证方法论公开免费 · 免登录不偷你的 IP
为什么挂了代理还会泄露真实 IP:三条独立泄露通道
代理 / VPN 只接管了「浏览器主动发起的 HTTP/HTTPS 流量」这一条路。问题是,你的设备暴露真实身份的路不止这一条——至少还有三条独立通道绕过隧道:WebRTC、DNS、以及 IPv6。它们彼此独立,关掉一条不代表另外两条也安全,这也是「IP 泄露」要做综合检测而不是只测一项的原因。
WebRTC 是浏览器内置的点对点通信能力(视频通话、屏幕共享都靠它)。它为了打洞会向 STUN 服务器发请求,拿回一个「服务器反射地址」(server-reflexive candidate)——也就是你这台机器在公网上的真实出口 IP。这个过程不经过你的 HTTP 代理设置,于是网页脚本能用一段 RTCPeerConnection 代码,在你毫不知情的情况下读出代理背后的真身。现代 Chrome / Edge 已经用 mDNS 把局域网内网 IP 混淆成 .local 主机名,但这只挡内网地址,公网反射地址(最关键的那个)依然能漏。
DNS 泄露是另一回事:哪怕你的网页流量走了代理,把域名翻译成 IP 的「问路」请求(DNS 查询)如果没跟着进隧道,就会落到你本地 ISP 的解析器手里。网站方通过 EDNS 或解析器归属,就能反推你真实所在的运营商和大致地区——IP 看着是代理的,DNS 却出卖了你。
IPv6 泄露最隐蔽。现在的家宽和 4G/5G 大多是双栈(同时有 IPv4 和 IPv6 出口),而很多代理客户端默认只代理 IPv4、假设你没有 IPv6。结果是:IPv4 乖乖走隧道,IPv6 却直接从你真实线路出去。操作系统往往还偏好 IPv6(延迟更低),于是不少请求干脆走了没被代理的那条路。
单条泄露不可怕,可怕的是被关联:风控如何拼出你的真身
对反欺诈和平台风控来说,单看一个代理 IP 价值有限——真正致命的是「关联」。当一个页面同时拿到你的代理出口 IP 和某条泄露出来的真实地址(WebRTC 反射 IP、DNS 解析器归属、或未代理的 IPv6),它就能把「你伪装的身份」和「你真实的身份」绑在一起。跨境电商养的多个买家号、广告联盟的多账号、薅羊毛的批量注册,往往就是栽在这种 v4/v6 配对或 WebRTC 反射上被判定为同一台设备。
一个常见且要命的组合是:代理只给了你一个干净的住宅 IPv4,但你的 IPv6 是真实的家宽地址。风控网站同时记下这两个,下次只要在另一个「干净」账号上又看到同一个 IPv6,两个账号立刻被串成一窝。你以为换了 IP,其实那条没人管的 IPv6 一直在当你的身份证。
对 VPN / 代理用户而言,这意味着「连上了」不等于「匿了」。判断匿名是否成立的标准不是主 IP 显示成了代理,而是这三条通道里有没有任何一条漏出了和代理出口不一致的真实归属。只要有一条不一致,匿名链条就是断的。
怎么测、怎么修:按优先级一条条排查
综合检测的逻辑是:先确认你的公网出口 IP(代理是否真的生效),再分别验证三条旁路有没有漏出「和出口不一致」的地址。本页的检测器把这几步合到一次扫描里——出口 IP、WebRTC 是否暴露不一致的真实 IP、DNS 解析器归属是否与出口地区一致、以及 IPv4/IPv6 双栈出口是否一致。关键看的不是「漏没漏出一个 IP」,而是「漏出来的那个和你的代理出口对不对得上」。
WebRTC 的修法:Firefox 在地址栏输入 about:config,把 media.peerconnection.enabled 设为 false 即可彻底关闭;Chrome / Edge 没有原生开关,需要装 WebRTC 控制类扩展,或在企业策略里限制。注意——如果你要用网页视频通话,关掉 WebRTC 会一并失效,按需取舍。
DNS 的修法:在代理 / VPN 客户端里打开「DNS 走隧道 / 防 DNS 泄露」选项(绝大多数主流客户端都有),或手动把系统 DNS 指到可信解析器(如 1.1.1.1)。改完务必回到本页重测,确认解析器归属变成了代理出口的地区。
IPv6 的修法有两条路:要么在系统网络设置或路由器里直接关闭 IPv6(最干脆,关掉后本页的 IPv6 出口会显示不可达),要么换用明确同时代理 v4+v6 的工具。修完三项后再整体重测一遍,三条通道全部和出口一致,才算真正匿了。
IPOK 怎么帮你测,以及它和「偷 IP」的工具有什么不同
IPOK 是独立开发者做的 IP 纯净度 / 风险值检测工具,把上面这套综合泄露检测做进了一个页面:你能一次看到出口 IP、WebRTC 是否漏出不一致的真身、DNS 解析器归属、双栈一致性,按风控同款逻辑帮你判断匿名链条哪里断了。
关键区别在隐私立场。市面上有些 IP 检测站会用 WebRTC 主动穿透你代理背后的真实 IP 并回传服务器,甚至把你的 IPv4/IPv6 配对记到后端建档——这类站点本身就是去匿名工具。IPOK 反着来:WebRTC 检测点击才跑、全程在你浏览器本地、结果绝不回传我们;不做 IP 配对日志;查询无状态、无数据库、无埋点、无追踪 Cookie。我们查的是 IP,不是你。
所以这页适合在你「准备依赖匿名」之前先跑一遍:开新号之前、上代理切环境之后、或单纯想知道自己到底漏没漏。下面直接用检测器看你的三条通道是否都干净。
常见问题
IP 泄露和 IP 检测有什么区别?
IP 检测看的是你这条出口 IP 的质量;IP 泄露看的是你的真实 IP / 归属有没有从其他途径(WebRTC / DNS)漏出去。
哪些情况最容易泄露?
浏览器开着 WebRTC、代理没接管 DNS、或用了不防泄露的 VPN 客户端,都可能泄露真实 IP / 归属。
IP 泄露检测和单独的 WebRTC / DNS 测试有什么区别?
单项测试只看一条通道;IP 泄露检测是把 WebRTC、DNS、IPv6 三条旁路加上出口 IP 一致性合到一次扫描里,并交叉比对——重点不是某条漏没漏,而是漏出来的地址和你的代理出口对不对得上。三条全一致才算匿名链条完整。
我用的是手机 4G/5G,也需要查 IP 泄露吗?
需要,而且更要查。移动网络几乎都是双栈,运营商默认给你分配 IPv6,很多代理 App 只代理 IPv4,导致 IPv6 直接走真实线路泄露。手机端 WebRTC 同样可能漏出真实 IP。
检测显示没泄露,是不是就绝对匿名了?
不是。本页覆盖的是 IP / 归属层面的泄露。即使三条通道都干净,网站仍可能用浏览器指纹(UA、显卡、时区、Canvas 等)跨 IP 认出你。要防关联还需配合指纹层面的处理。
关闭 IPv6 会不会影响正常上网?
绝大多数网站和服务对 IPv4 仍完整支持,关掉 IPv6 后日常上网通常无感。极少数纯 IPv6 服务会受影响。如果你不想关,可改用明确同时代理 v4+v6 的工具来堵这个洞。