设置家庭网络时,你可能会下载路由器配套的手机App,为孩子设备创建档案,开启成人内容过滤开关,然后觉得自己是个负责任的数字家长。但当你回头验证是否真的生效时,孩子可能只需打开笔记本,进入浏览器设置,或者轻点一下Apple Private Relay之类的开关,就能瞬间访问任何内容。你的手机不会收到任何警报,路由器也显示一切正常。

这是因为现代消费级家长控制纯粹是安全表演。它们依赖老旧的明文网络规则,而现代网络架构早已让这些规则形同虚设。想要真正有效的过滤,必须放弃那些消费级开关,建立真正受限的防火墙边界。路由器App给你虚假的安全感,但现代设备默认启用加密的DNS over HTTPS。一个懂技术的孩子根本不需要入侵你的路由器——他们的设备原生就能绕过你的封锁。

打开网易新闻 查看精彩图片

要阻止这种情况,必须编写一条防火墙规则,强制所有流量回流到受控的过滤管道。这些控制机制从根本上就是残缺的,因为现代浏览器和操作系统故意使用加密DNS协议绕过本地路由器。这是一个技术缺陷,而实现这个解决方案会让你感觉自己像个网络传奇。

传统的家长控制为何失效?大多数路由器最初实施家长控制时,会选择老办法。传统过滤器拦截标准的未加密DNS请求,判断设备是否在请求被屏蔽的网站。例如,如果你屏蔽了TikTok.com,路由器会检查是否有未加密的DNS请求指向该网站。如果有且匹配屏蔽列表,路由器就会丢弃请求,阻止访问。

然而,现代技术提供了一个主要的绕过方式。DNS over HTTPS是一种安全协议,它加密网站查询并将其隐藏在普通网络流量中。这项功能甚至无需安装或手动启用即可工作,因为Chrome、Firefox和Edge等浏览器已经内置了安全DNS。当该功能启用,或者孩子连接免费VPN时,浏览器会将DNS请求包裹在加密的HTTPS连接中,直接发送给Google或Cloudflare。对你的路由器来说,这看起来只是一个普通的、无害的网站,它无法窥探加密信封内部来进行屏蔽。这使得即使网站在路由器的家长控制列表中被屏蔽,也能无限制访问。

路由器档案机制还存在次要的失效问题。它们使用MAC地址追踪设备,MAC地址是设备的物理网络标识符。iOS、Android以及现在的许多操作系统都实现了MAC地址随机化,定期更换设备的标识符,导致基于档案的控制无法持续追踪特定设备。