一直搞不懂翻墙的时候谁能看到我真实访问的网址。

@titanium98118 啥意思，我自己搞一个服务器，先代理一手，在走公共机场啊

楼上你们没有考虑到本地分流策略可能会查询本地服务商 dns 吗?

在查询到本地 dns 结果是特定区域 ip 之后再走其他协议？

相比信息传输方面的风险，楼主应当考虑一下公共场合被窥屏的情况。

不要忘记还有 dns 泄露这一层风险，代理软件的 dns 请求其实很混乱

@344457769 也就是说 wifi 提供者和运营商都是不知道我访问哪个网址，但有心的人可以根据流量特征推断出可能在使用 vpn 。

@MiketsuSmasher 窥屏是指肉眼窥屏吗，这个我是会考虑的，周围有人我是不会打开的，怕某个闲的无聊的人给我举报喽，软件层的窥屏在我手机和电脑还是不太可能发生的。

@vocaloid
@jimages 不懂这一层，会引起哪些问题吗？两次能详细说一下吗，有什么避免的方法吗

@lymanlee 部分代理工具因为要对国内外网站进行分流，所以需要一个分流规则，国内网站不走代理，国外或者被墙网站走代理。但是分流规则可能并不完善，一些不在规则内的网址，代理工具可能会先在本地请求 DNS ，判断 ip 是国内还是国外，然后再分流。所以如果你用的是没有加密的 DNS ，那么运营商是可以看到你请求的域名的，DNS 提供者也能看到。规避方式就是使用完善的分流规则、使用 dot 或者 doh 请求 DNS ，或者干脆自建 DNS 。

错了，想找你很容易，给点钱让各个 ISP 分析你的流量就行了。你们要知道这个世界上钱是万能的，你有国家有钱吗？

@RiverMud 看到你的问题，我刚想到 DNS 解析，然后就看到你的后一句🤣

开系统代理，用 wireshark 抓系统网卡，抓到的就是你 ISP 看到的
开透明代理，用 wireshark 抓虚拟网卡，抓到的就是你机场看到的

1. 机场的地址。但是还可能知道你访问的站点的域名（如果配置不当或者软件支持优先，在本地解析发生 DNS 解析的话）
2. 单纯的 WiFi 环境同 1
3. 正确配置 DNS 避免在本地进行 DNS 解析。另外，如果设备不是你的，比如公司电脑，应当假设监听者（公司）能够看到一切内容。设备不可靠时手段太多样了。关于是否信任手机这样的设备，不同的人有不同观点（几乎难以自行安装原始途径的操作系统）

OP 这个问题实际上触及到了互联网最根本的隐私和信息保护机制，这个其实也是国内国外各大软件公司、宽带 ISP 和互联网巨头争夺的关键战场，ISP 作为实际用户第一个接入者，基本上决定了用户能看什么不能看什么，靠的就是 DNS 污染和 IP 封锁，所以用户为了避开限制，就会用 TLS 等等加密协议加密了自己的数据包，或者说是伪装了自己的数据包，让 ISP 看不到自己想要去的真正的网站，这里面的加密和反加密、特征码和伪装包都是打了好多年的老对手了。

实际上，我们现在还能翻墙，还真要感谢微软，如果微软屈服于 ZF 的压力，直接把 WIN10 和 WIN11 的出厂可信任 CA 证书换成国内 ISP 所发的证书，那么我们所有的加密手段都会被渗透，那时你的所有访问内容都会被看的清清楚楚。

这个问题解释起来过于庞大，就像上面一位大佬说的一样，你输入 google 网址敲回车，直到屏幕显示谷歌页面，这中间的各种加密和解密、IP 过滤、DNS 欺骗都是反复进行了很多遍，过程很复杂，结果很简单。

简单理解一下是不是我开全局代理， 假设 isp 可信， 机场可信 就没有问题了

@lymanlee 简单的方法，真想完全避免就用国外的 DoH/DoT ，但是这样网络体验不太好。另外一种办法是将你经常访问的一些敏感国外网站全部加到规则列表里进行远程 DNS 解析

@lymanlee 实际上就是如果你没有正确配置好 dns 的话，代理软件很可能会向本地服务商 dns 进行请求，这个过程会泄露访问的域名（毕竟不是加密的）

你能访问 twitter 或者 google 所有的域名前，本地都要先知道对应的 ip 地址是多少。如果本地没有缓存的话，就会在本地发送 dns 解析请求，然后根据你请求回来的 ip 做分流，如果 ip 符合你代理的规则就把 ip 交给机场由机场代你访问网址。所以如果你的 dns 服务器是默认本地分配的或者普通的 dns 服务器的话，那么你本地的 dns 服务器就知道你在请求什么网站。

简单的办法，直接远程一台小机，在上面访问网站即可

能猜到你在翻，但是看不到你在具体翻什么网站看什么内容，但是一般公司会提供办公电脑吧，办公电脑内置管理软件或者证书的话是可以看到的

别忘了 referrer