WebRTC 泄露是什么
WebRTC 是浏览器内置的实时通信能力,用来支持视频会议、语音通话、P2P 文件传输等场景。为了建立点对点连接, 浏览器会通过 STUN 服务器发现自己在公网侧看到的地址。这个探测通常使用 UDP,而普通 HTTP / SOCKS 代理并不一定接管 UDP。
如果 STUN 请求绕过代理直接从本地网络发出,网页脚本就可能拿到你的真实公网 IP。这个过程通常不需要摄像头、麦克风权限, 也不会弹出额外确认框,所以它常被用来检查代理是否真正覆盖了实时通信流量。
LEAK CHECK
泄漏检测
检测 DNS / WebRTC / IPv6 / 时区 / IP 一致性是否存在泄漏。如果你用了 VPN 或代理, 这里能确认是否真正匿名。
Technical Notes
WebRTC、UDP 与 DNS 泄露说明
泄漏检测不是只看网页请求的出口 IP,而是同时观察浏览器实时通信、DNS 解析、IPv6 和环境一致性。 下面这些说明可以帮助你判断检测结果是真正泄露、正常分流,还是代理模式带来的假象。
本工具如何检测
页面会尝试向多个 STUN 服务器发起 WebRTC 探测,收集返回的公网地址,并和 HTTP 出口 IP 做对比。 如果返回地址与当前出口一致,说明 UDP 路径大概率被代理接管;如果返回本地运营商地址,就需要重点排查。
- 验证 UDP 是否走代理出口
- 发现 IPv4 / IPv6 是否各自泄露
- 观察不同 STUN 目标是否命中不同分流规则
STUN 与 UDP 的角色
UDP 是一种无连接传输协议,常用于语音、视频、游戏和实时通信。STUN 的作用很简单:你向服务器发出 UDP 包, 服务器告诉你它看到的来源 IP。WebRTC 依赖这个结果来协商连接,因此 STUN 看到的地址就是判断泄露的关键证据。
如何判断结果
未发现泄露WebRTC 没有返回公网 IP,或返回的公网 IP 与当前代理出口一致。
疑似泄露WebRTC 返回了不同公网 IP,并且归属地、运营商或 ASN 指向你的真实本地网络。
正常分流多个 STUN 服务器返回不同代理出口,但这些出口符合你配置的线路或规则预期。
发现泄露后怎么处理
- Firefox 可在
about:config中关闭media.peerconnection.enabled。 - Chrome / Edge 可用 uBlock Origin 等扩展限制 WebRTC 暴露本地地址。
- Brave 可将 WebRTC IP 处理策略设为“禁用非代理 UDP”。
- 需要使用会议或语音时,优先在代理客户端中修正 UDP / STUN 分流规则。
多个出口 IP 不一定是泄露
如果你配置了分流,不同 STUN 服务器可能会走不同节点。例如 Google STUN 走美国出口,Cloudflare STUN 走香港出口。 这类结果不一定危险,关键是看它是否符合你的规则设计。真正需要警惕的是:所有 WebRTC 地址都指向你的物理所在地或本地 ISP。
DNS 泄露同样重要
WebRTC 泄露暴露的是“你的真实 IP”,DNS 泄露暴露的是“你查询过哪些域名”。如果 DNS 请求没有走代理, 本地运营商或上游解析器仍可能看到你的访问轨迹。本页的 DNS 项会辅助判断解析路径是否与出口环境冲突。
代理模式与 TUN 模式为什么结果不同
HTTP / SOCKS 代理通常只处理 TCP,STUN 所需的 UDP 可能无法发送,所以页面可能显示“未泄露”。这并不代表 UDP 已被安全代理, 只是 UDP 没有成功到达 STUN 服务器。TUN 模式会接管虚拟网卡上的 TCP 和 UDP,因此更能反映真实的 UDP 出口路径。
模式STUN UDP结果含义
HTTP / SOCKS 代理可能发不出去未泄露可能只是 UDP 被挡住
TUN / 虚拟网卡可以真实发出更适合验证 UDP 出口和分流规则
建议在你实际使用的网络模式下重新测试:如果日常使用 TUN,就用 TUN 测;如果依赖浏览器代理,也要确认 UDP 被阻断并非误判安全。 判断 WebRTC 泄露时,重点看返回 IP 的 ASN、归属地和是否符合你的分流预期。