你的ISP知道你的哪些上网活动以及如何保护自己

ISP 实际能看到什么

您的互联网服务提供商（ISP）是通往互联网的网关。由于您的所有流量都经过 ISP 的网络，从技术上讲，他们能够访问您相当大范围的通信数据。

许多用户认为 HTTPS/TLS 加密使他们的浏览完全私密。实际上，HTTPS 只加密有效载荷，即通信的实际内容。目标域名、连接时间戳和数据量等元数据对 ISP 仍然可见。

首先在 IP 确认上查看您的连接详情。显示的 IP 地址和 ISP 名称准确地表明了哪个提供商正在处理您的流量。

ISP 数据收集的具体范围

ISP 在技术上能够捕获的内容因流量是否加密而有很大差异。

使用 HTTPS 加密时

即使使用 HTTPS，ISP 仍然可以获取：

• 目标域名（可从 SNI - 服务器名称指示中读取）
• 连接时间戳
• 数据量（上传和下载字节数）
• 目标服务器 IP 地址
• 通信频率和模式
• DNS 查询内容（未使用加密 DNS 时）

简而言之，ISP 可以确定您访问了 example.com，但无法看到您查看了哪个具体页面或在表单中输入了什么。

未加密时（HTTP）

在未加密的 HTTP 上，ISP 还可以查看：

• 完整的 URL 路径（页面级浏览历史）
• 表单数据（登录凭据、搜索查询）
• 下载的文件内容
• 电子邮件正文（通过未加密的邮件协议）

虽然纯 HTTP 网站现在已经很少见，但一些物联网设备和遗留应用程序仍在进行未加密通信。物联网安全在这方面仍然是一个值得关注的问题。

DNS 查询揭示了什么

DNS 查询是关于用户行为最具揭示性的数据源之一。传统 DNS 以明文传输，允许 ISP 记录您尝试访问的每个域名。即使使用 VPN，DNS 泄漏也可能暴露这些数据。

ISP 为什么收集您的数据

法定数据保留义务

许多国家要求 ISP 在规定期限内保留通信元数据。澳大利亚 2015 年的《元数据保留法》要求保存两年的元数据。各司法管辖区的法律环境差异很大，详情请参阅我们的隐私法律概述。要全面了解加密技术，加密技术参考书籍会很有帮助。

网络管理和流量整形

ISP 为了网络稳定性而监控流量类型和数量。在拥塞期间，他们可能使用深度包检测（DPI）技术对视频流等特定服务进行限速。

广告和营销

一些 ISP 利用收集的浏览数据用于广告目的。在美国，2017 年通过的立法允许 ISP 在未经用户明确同意的情况下向广告商出售用户浏览数据。广告追踪也可以在 ISP 层面运作。

深度包检测 - 工作原理及其重要性

DPI 不仅检查数据包头部，还检查有效载荷。虽然 ISP 将其用于流量管理和法律合规，但它对隐私有严重影响。

DPI 能做什么

• 流量类型识别（视频流、VoIP、P2P、VPN）
• 检测和阻止特定应用程序或协议
• 检查未加密通信的内容
• 即使对于加密连接，也能从流量模式推断服务类型

DPI 对加密的局限性

DPI 无法读取 VPN 加密流量的有效载荷。然而，流量分析技术可以从数据包大小分布、时序模式和突发特征中以惊人的准确度推断服务类型。

VPN 流量检测

DPI 还可以检测 VPN 流量本身。中国的防火长城和俄罗斯的 TSPU 使用 DPI 来识别和阻止 VPN 连接。为了应对这一问题，一些 VPN 提供商实施了混淆技术，将 VPN 流量伪装成普通的 HTTPS 流量。

防范 ISP 监控的六种实用方法

1. 始终开启 VPN

最有效的防御措施是始终使用可信的 VPN。VPN 激活后，ISP 只能看到与 VPN 服务器之间的加密连接。启用 VPN 终止开关以防止连接断开时 IP 泄漏。

2. 加密 DNS

启用 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 来加密您的 DNS 查询。包括 Chrome、Firefox 和 Edge 在内的主流浏览器都原生支持 DoH。

3. 强制全面使用 HTTPS

在浏览器中启用仅 HTTPS 模式，强制所有连接使用 HTTPS。Chrome、Firefox 和 Edge 都包含此功能。

4. 加密客户端问候（ECH）

ECH 加密 TLS 握手中的 SNI 字段，防止 ISP 识别目标域名。Cloudflare 广泛支持 ECH，Firefox 默认启用。

5. Tor 浏览器

如需最大程度的匿名性，可以考虑使用 Tor 浏览器，它通过多个中继节点进行分层加密路由。

6. 元数据最小化

通过限制后台应用通信、使用注重隐私的搜索引擎以及断开未使用的设备来减少您生成的元数据总量。

最新动态（2025-2026）

ECH 的采用与 ISP 的应对

ECH 的采用正在加速，AWS CloudFront 和 Fastly 加入 Cloudflare 的行列支持该标准。一些 ISP 试图通过阻止 ECH 来应对，迫使浏览器回退到未加密的 Client Hello。

QUIC 协议与 ISP 可见性

HTTP/3 底层的 QUIC 协议向 ISP 暴露的信息比传统的 TCP + TLS 更少。QUIC 加密连接 ID，使 ISP 的会话追踪变得更加困难。要全面了解网络安全，网络安全参考书籍会很有帮助。

如何检查您的暴露程度

验证 DNS 加密状态

1. 访问 IP 确认并查看您当前的 DNS 服务器信息
2. 如果 DNS 服务器属于您的 ISP，您的 DNS 查询很可能未加密
3. 考虑切换到加密 DNS 提供商，如 Cloudflare (1.1.1.1) 或 Google (8.8.8.8)

VPN 泄漏测试

1. 连接 VPN 并在 IP 确认上验证您的 IP 地址已更改
2. 运行 DNS 泄漏测试以确认 DNS 查询保持在 VPN 隧道内
3. 执行 WebRTC 泄漏测试以检查浏览器级别的 IP 暴露

检查浏览器加密设置

• 验证仅 HTTPS 模式已启用
• 确认 DNS over HTTPS 已激活
• 检查 ECH（加密客户端问候）状态（Firefox：在 about:config 中验证 network.dns.echconfig.enabled）

总结

ISP 位于您互联网连接的网关位置，从技术上可以访问广泛的通信数据。虽然 HTTPS 使内容拦截变得困难，但域名、流量模式和 DNS 查询等元数据仍然暴露在外。通过结合始终开启的 VPN、加密 DNS 和 ECH，您可以显著减少 ISP 可获取的信息。首先在 IP 确认上检查您当前的连接状态。