## 我们的阻挡功能是如何运作的

2024-10-30 12:12:49

我们的屏蔽器如何防止追踪、广告和成人网站

ExpressVPN新闻

5分钟阅读

2023年12月15日

撰文者

Andre Lo PEng

审阅者

Fangying Ang

最后更新于

2024年3月28日

审阅者

Fangying Ang

最后更新

2024年3月28日

在Facebook分享在Twitter分享在Whatsapp分享在Telegram分享通过电子邮件分享

我们最近宣布在我们的应用程序中推出一整套高级保护功能，让用户对隐私和整体互联网体验有更多控制。现在大多数平台上的ExpressVPN应用程序允许用户：

阻止追踪器和恶意网站。该功能称为威胁管理器，能够防止您设备上的所有应用程序和网站与已知追踪活动或恶意行为的第三方通信。适用于所有主要平台Windows，Mac，Android，iOS，Linux以及我们的Aircove路由器。阻止广告。我们的广告拦截器阻止大多数展示广告的加载。这不仅可以避免广告的干扰，还能加快网页的加载速度，减少数据的使用。适用于Android，iOS，Windows，Mac和Aircove，Linux版正在开发中。阻止成人网站。启用该功能后，成人网站将无法在设备上加载。这在ExpressVPN的Aircove上尤为有用，它可以阻止整个家庭网络中的不良内容，包括儿童使用的设备。适用于Android，iOS，Windows，Mac和Aircove，Linux版正在开发中。

您只需在应用程序设置中打开这些功能。它们仅在您的VPN开启时生效在Aircove上，即使不使用VPN功能它们也会生效。

我们使用的屏蔽列表是开源的，并在业界享有很高的声誉。通过使用这些屏蔽列表，我们能够依赖外部的专业知识，同时也会自行审核和优化。因为不良域名层出不穷，它们需要经常更新，并且也会被迅速下架。

那么，我们的应用程序是如何屏蔽这些域名的呢？在实施这些功能时，我们最主要的考虑是保护用户隐私。以下是其工作原理。

在设备上进行屏蔽，而非服务器

当用户尝试访问被屏蔽的网站时，一般有两个地方可以进行屏蔽：用户的设备或服务器。在我们所有的屏蔽功能中，运行在用户设备上的基于DNS的流量屏蔽器会阻止所有应用程序和浏览会话与我们屏蔽列表中的第三方进行通信，包括追踪器、诈骗者、恶意网站、广告和成人网站。查询不会离开用户的设备。我们选择这种方法的原因如下：

安全性。我们选择在设备上进行屏蔽的主要原因是基于深度防御的信念。在应用程序中拦截DNS查询更安全，这样就没有风险让任何活动在服务器上持久存在或暴露出来。因为我们确实需要知道数据包意图访问的域名，然后才能做出决策而我们不希望服务器知道或关注这些信息。简单来说，我们想在保护您的隐私的同时，让服务器对您了解得更少。简化。将基于DNS的流量屏蔽复杂性移出我们的服务器，减少了服务器的攻击面。这在第三方审计机构检查我们的技术时得到了确认。灵活性。在应用程序或客户端端进行屏蔽使我们在未来能够更灵活地进行每个设备定制功能。这意味着用户将能够添加自己希望屏蔽的域名，或用希望访问的域名的白名单来覆盖屏蔽列表，提供更大的用户控制。如果屏蔽发生在服务器上，那么所有连接到该服务器的不同应用程序只能 rigidly 使用相同的屏蔽列表。

在服务器端屏蔽的增加风险

其他服务提供商在服务器端进行屏蔽，我们也考虑过这个选项，但最终拒绝了。如果您使用这样的服务并寻求高水平的隐私，您需要确保他们不会记录DNS请求，并且必须确认处理您DNS的服务器的安全性。

相关的风险是，服务器可能被执法部门查封，以检查用户的活动，使您暴露在外。并非每个人都像ExpressVPN一样，确保在服务器上不保存不必要的数据。我们的无日志政策的可靠性在几年前接受过考验，当时土耳其政府试图通过我们的服务器获取用户数据，却发现并没有对他们有用的信息。话虽如此，我们始终秉持谨慎态度，以降低您的隐私风险。

我们应用程序是如何进行屏蔽的？

我们需要做出的另一个决策是，如何回应查询我们向请求DNS的应用程序传达什么信息，以阻止该查询？根据我们如何回复请求的应用程序，应用程序可能不会预期或理解回复，从而导致它不断尝试。我们希望以尽可能不打扰的方式进行处理。经过研究和反复试验，我们决定告诉发出DNS请求的应用程序该域名不存在，使用的错误代码为NXDOMAIN；这使我们能够以最干净的方式屏蔽该域名。

其他选项是忽略请求或根本不回复，这对应用程序造成了困惑，因为它们不知道请求是否被我们阻止，或是请求在互联网上迷失了。有时，这会导致应用程序不断重试。