场景:你在上海浦东机场候机,航班延误两小时。你掏出手机,连上"Shanghai-Airport-Free-WiFi",打开 VPN,刷了一下 Instagram,回了几封 Gmail,顺便登录网银看一下余额。
一切看起来很正常。但你可能不知道——你刚才连的那个 WiFi,根本不是机场官方的。
我是小鹿,信息安全硕士,前 KPMG 信息安全顾问,现在是全职隐私偏执狂。今天我要认真跟你聊一件事:在公共 WiFi 上翻墙,你以为开了 VPN 就安全,但真相是坑比你想的多太多了。
这不是在吓你。看完这篇,你会知道那些坑在哪,以及怎么避开。
公共 WiFi 的 5 大安全风险
先搞清楚一件事:公共 WiFi 本身就是高风险环境,不管你有没有在翻墙。
1. 中间人攻击(MITM):假 WiFi,真窃听
这是最经典的手法。攻击者在星巴克架一个名叫"Starbucks-Free-WiFi"的热点,名称跟真的一模一样。你的手机看到信号比较强,就自动连上了——恭喜,你所有的网络流量现在都经过攻击者的设备。
这不是什么高难度黑客技术。一台笔记本 + 一个 20 美元的 WiFi adapter + 免费的开源工具,任何信息安全专业大二学生都做得到。在机场、酒店、咖啡厅这种人流密集的地方,你根本分不清哪个是真的、哪个是假的。
2. DNS 劫持:连上真 WiFi,照样被骗
好,你确认连的是官方 WiFi,放心了?别太早。
DNS 就像网络的电话簿,你输入"google.com",DNS 服务器告诉你的手机要连到哪个 IP。但如果公共 WiFi 的 DNS 被篡改,你输入"google.com",被导向的可能是一个长得一模一样的钓鱼网站。你输入账号密码——恭喜,又被偷了。
更阴险的是,DNS 劫持几乎没有任何明显迹象。网址栏看起来正常、页面看起来正常,你完全不会察觉。
3. Session Hijacking:偷你的 Cookie
你登录了 Facebook,浏览器会存一个 Session Cookie,之后就不用重新登录。但在未加密的公共 WiFi 上,攻击者可以拦截这个 Cookie,直接冒充你的身份登录你的账号——完全不需要你的密码。
虽然现在大多数主流网站都使用 HTTPS 加密,但并不是所有网站都做得到位。而且某些旧版浏览器或 App 可能在后台传输未加密的数据,你根本不会知道。
4. 强制门户页面(Captive Portal)的信息收集
你一定遇过:连上 WiFi 后跳出一个页面,要你输入手机号、Email,或者用微信扫码才能上网。
真相是,这些信息全部会被记录。在中国大陆,公共 WiFi 的强制门户通常要求手机号码验证,这代表你的上网行为可以跟你的真实身份绑定。你接下来做了什么、连了多久、访问了哪些网站,全部有迹可查。
5. WiFi 嗅探:被动窃听,你完全不会发现
就算攻击者什么都不做,只是"听",也够危险了。WiFi 嗅探工具可以被动截获同一个网络上所有未加密的流量——浏览的网页、传输的文件、甚至某些 App 的聊天内容。
最可怕的是,这种攻击完全是被动的,不会产生任何异常流量,你的手机不会跳出任何警告。你可能在酒店大堂舒舒服服地滑手机,旁边桌的人正在用笔记本看你的一切。
VPN 能保护你多少?真相是没你想的那么多
很多人的安全策略是:连上公共 WiFi → 打开 VPN → 安心上网。
这个逻辑大方向没错,但有 4 个致命的死角你必须知道。
VPN 能做到的 ✅
VPN 会在你的设备和 VPN 服务器之间建立一条加密通道。一旦连接建立,你的网络流量会被加密,中间人看到的只是一堆乱码。这确实能有效防止大部分的窃听和攻击。
死角 1:VPN 连接前的那几秒是裸奔的 ❌
你连上公共 WiFi,然后打开 VPN App,按下连接。在 VPN 真正建立之前——通常需要 2-10 秒——你的设备已经在后台发送了一堆请求:DNS 查询、App 推送、邮件同步、系统更新检查……
这几秒钟的"空窗期",你的真实 IP、DNS 请求、甚至部分 App 数据都是暴露的。如果有人在监听,这几秒就够了。
死角 2:DNS Leak——加密了但 DNS 查询没加密 ❌
有些 VPN 设置不当,会导致 DNS 查询仍然走本地网络而非 VPN 通道。结果就是:你的网络流量虽然加密了,但你"查了什么网站"这件事情是公开的。
这就像你寄了一封密封的信,但信封上写的收件地址所有人都看得到。攻击者不知道你跟那个网站说了什么,但知道你去了哪些网站——有时候这就够了。
死角 3:已经泄露的 Cookie 救不回来 ❌
如果你在 VPN 连接之前就已经登录了某个网站,那个 Session Cookie 已经在未加密的状态下传输过了。之后再开 VPN 也没用,Cookie 已经被偷了。
死角 4:VPN 断线你不一定知道 ❌
公共 WiFi 信号不稳,VPN 连接很容易断掉。如果你的 VPN 没有 Kill Switch(断线自动切断网络)功能,断线的那段时间你的流量又会回到未加密状态——而你可能完全没注意到,还在继续刷 Instagram。
想了解更多 VPN 基础知识,可以看 VPN 是什么?新手入门指南。
在中国用公共 WiFi 翻墙:还有这些特殊风险
如果你是在中国大陆的公共 WiFi 环境翻墙,风险还要再加几层。
WiFi 实名制
2024 年起,中国大陆绝大多数公共 WiFi 都需要手机号码验证,部分场所甚至要求身份证号或人脸识别。这代表你的翻墙行为可以直接追溯到你的真实身份。
在机场、高铁站、酒店这些地方,你扫码连 WiFi 的那一刻,你是谁、你什么时候上网、你连了多久,全部被记录在案。
反诈 App 可能检测 VPN 连接
近年来中国大陆推动的"国家反诈中心"App,部分地区要求安装。这类 App 具备网络监控能力,可能检测到 VPN 连接行为并上报。虽然目前还没有大规模因此被处罚的案例,但风险存在。
想了解在中国使用 VPN 的法律风险,可以参考 VPN 在中国违法吗?。
某些 WiFi 主动封锁 VPN
部分公共 WiFi(特别是政府机关、国企、某些连锁酒店)会主动检测并封锁常见的 VPN 协议。你可能会发现,在某些地方连上 WiFi 后,VPN 怎么都连不上——不是你的 VPN 坏了,是被挡了。
如果你有这种困扰,可以看看 VPN 连不上怎么办?。
深度包检测(DPI)
中国大陆的网络环境部署了深度包检测技术。在某些公共 WiFi 上,DPI 不只封锁 VPN,还会记录你"尝试翻墙"这个行为本身。就算你最终没有翻墙成功,尝试的记录也可能被保留。
最新的封锁动态可以参考 2026 Q2 中国防火墙更新。
在公共 WiFi 环境自保 Checklist(10 项)
好,风险讲完了,来点实际的。以下是我个人在使用公共 WiFi 时的标准操作流程:
连接前
- ✅ 1. 先开 VPN,再连 WiFi:顺序很重要。先启动 VPN(让它进入等待连接状态),再连 WiFi,这样可以最大程度缩短空窗期。
- ✅ 2. 确认 WiFi 名称:跟店员或工作人员确认官方 WiFi 名称,不要看到名字像就连。特别注意:攻击者常用的手法是在正确名称后面加一个空格或下划线。
- ✅ 3. 关闭自动连接:在手机设置里关掉"自动连接已知网络",防止手机在你不知情的情况下连上恶意热点。
连接中
- ✅ 4. 确认 VPN 确实在运作:连上 WiFi 后,确认 VPN 状态是"已连接",手机顶部应该有 VPN 图标。
- ✅ 5. 不要登录敏感账号:在公共 WiFi 上,就算开了 VPN,也尽量避免登录网银、重要 Email、或任何涉及金钱的账号。能等到回家用自己的网络,就等一下。
- ✅ 6. 只用 HTTPS 网站:注意浏览器地址栏有没有那把锁的图标。没有的话,关掉,别用。
- ✅ 7. 关闭不必要的 App:那些你没在用但在后台偷偷同步的 App(社交、邮件、云端同步),在公共 WiFi 环境下都是潜在的泄漏点。
连接后
- ✅ 8. 忘记这个 WiFi:用完之后,到 WiFi 设置里选"忘记此网络",防止下次自动连上。
- ✅ 9. 清除浏览器 Cookie:特别是如果你在 VPN 连接前就开始浏览的话。
- ✅ 10. 留意异常通知:接下来几天注意有没有收到"异常登录"的通知信。如果有,立刻改密码并开启两步验证。
不同场景的风险等级
不是所有公共 WiFi 都一样危险。以下是我个人的风险分级:
| 场景 |
风险等级 |
主要风险 |
建议 |
| 机场(国际) |
⚠️ 中 |
中间人攻击、嗅探 |
开 VPN 再连,避免敏感操作 |
| 机场(中国大陆) |
🔴 高 |
实名制 + DPI + 中间人 |
能用移动数据就别用 WiFi |
| 连锁咖啡厅 |
⚠️ 中 |
假热点、嗅探 |
跟店员确认 WiFi 名称 |
| 酒店 |
⚠️ 中高 |
DNS 劫持、门户页面收集 |
确认 VPN 运作正常 |
| 高铁站(中国大陆) |
🔴 高 |
实名制 + 封锁 VPN |
用手机移动数据翻墙 |
| 共享办公空间 |
⚠️ 中 |
嗅探、Session 劫持 |
开 VPN + 避免敏感操作 |
如果你要去大陆出差,强烈建议提前准备好翻墙工具。可以看看我们的台湾人到大陆出差翻墙攻略。
(广告时间)
好啦,讲了这么多风险,是时候私心推一下了。
Sunset Browser 针对公共 WiFi 环境做了不少优化——自研的加密隧道技术、多重加密加流量伪装,连接建立速度也够快,尽量压缩那个危险的"空窗期"。最重要的是,它不记录你的浏览记录,这点你可以放心。
免费用户看段广告就能用 30 分钟,在机场候机室刷个社交媒体绑绑有余。
广告结束。
常见问题 FAQ
开了 VPN 连公共 WiFi 就安全了吗?
不完全是。VPN 能加密你的网络流量,大幅提升安全性,但有几个死角:VPN 连接前的空窗期、DNS Leak、VPN 断线时的裸奔。VPN 是最重要的一层保护,但不是唯一的一层。
公共 WiFi 上翻墙会被发现吗?
在中国大陆的公共 WiFi 上翻墙,风险确实比较高。WiFi 实名制意味着你的行为可以追溯到真实身份,加上深度包检测技术,翻墙行为有被检测的可能。建议在大陆翻墙时优先使用移动数据而非公共 WiFi。
怎么判断连上的 WiFi 是不是假的?
很难。假的 WiFi 热点可以完美模仿真的,包括名称、登录页面。最保险的做法是:向现场工作人员确认官方 WiFi 名称、注意有没有重复的同名热点、连接后立刻开 VPN。如果同一个名称出现两次,选信号较弱的那个反而可能是真的(因为假的通常会刻意调高功率)。
用移动数据比公共 WiFi 安全吗?
一般来说是的。移动数据经过运营商的加密,中间人攻击的难度远高于公共 WiFi。在中国大陆翻墙的话,用移动数据至少少了"公共 WiFi 实名制 + 假热点"这两层风险。当然,移动数据也不是完全安全的,该开的 VPN 还是要开。
酒店 WiFi 比咖啡厅 WiFi 安全吗?
不一定。酒店 WiFi 通常有密码保护,感觉比开放式的咖啡厅 WiFi 安全,但实际上住客共享同一个网络,嗅探风险依然存在。而且酒店的 Captive Portal 通常会要求更多个人信息(姓名、房号、护照号),这些信息泄露的风险不比咖啡厅低。
结语:公共 WiFi 不是不能用,是要带脑子用
我不是要你从此不连公共 WiFi——那不现实。但我希望你每次连上免费 WiFi 的时候,脑子里有一个清单在跑:WiFi 名称确认了吗?VPN 开了吗?有没有在做敏感操作?
真相是,公共 WiFi + VPN 确实是目前最实际的组合,但 VPN 不是魔法结界,它有它的极限。知道极限在哪,才能真正保护自己。
下次在机场候机的时候,记得:先开 VPN,再连 WiFi。这个顺序,可能比你想象的重要得多。