出差住进酒店,连上 Wi-Fi 想登一下币安看看持仓——突然心里一紧:这个 Wi-Fi 是不是会被酒店或者 IT 部门看到我访问什么网站?2026 年 4 月 babialab security 分类有大量这类咨询。本文 4500 字给完整答案:酒店 Wi-Fi 三种网络环境(公开公网 / 房卡内网 / 商务 VPN)的监控逻辑、币安登入会暴露什么信息、HTTPS 能不能完全防偷窥、5 项实用防护清单、什么操作可以做什么操作不能做。这次 babialab 实测了 8 家酒店(汉庭 / 华住 / 锦江 / 万豪 / 香格里拉 / 喜来登 / 假日酒店 / 7 天连锁)的 Wi-Fi 抓包结果,全文给的是真实数据。如果你今晚就要在酒店登币安,建议先用 官方 APP 下载页 验证你装的 APP 是正版(部分酒店 Wi-Fi 会劫持下载流量),从 币安账户登录入口 走一次 HTTPS 加密通道,遇到强制门户跳转就用 官方注册入口 的 IP 直连绕开。本文不含图,节选自 babialab 4 月 24 日 8 家酒店实测数据。
酒店 Wi-Fi 三种网络环境
要回答「会不会被监控」,先要把「酒店 Wi-Fi」这个笼统说法拆成三种实际网络环境,每种对应不同的风险。babialab 4 月走访的 8 家酒店里这三种全部出现过:
第一种:公开公网(Open Public Wi-Fi)。最常见,特点是大堂 / 餐厅 / 部分客房用同一个 SSID(比如「Hyatt-Free-WiFi」),不需要密码或者只用一个简单密码。这种网络的所有客人共享一个广播域,理论上同网段的任何设备都能用工具看到广播流量。
第二种:房卡内网(Per-Room Authenticated Wi-Fi)。每间客房单独认证,登入要输房号 + 房卡号或姓名。这种网络通常每间房有独立 VLAN(虚拟局域网),客人之间相互看不到流量,但酒店 IT 网管能看到所有出口流量。
第三种:商务 VPN(Hotel Business VPN)。高端酒店或会议中心提供,给你单独的 VPN 通道连出去,流量加密到酒店出口。这种安全性最高,但极少见,基本上只有万豪 / 香格里拉 / 喜来登的行政楼层才有。
知道自己连的是哪种网络很重要,因为风险等级差几倍。判断方法:登入门户是不是只填房号?是 → 第二种;门户要求装客户端?是 → 第三种;什么门户都没直接连?是 → 第一种。
币安登入会暴露什么信息?
这部分是最关键的认知。打开币安网页(binance.com)的全过程,在不同网络环境下能被监控到的信息差别很大。下面是 babialab 用 Wireshark 抓包后的分层数据:
DNS 查询阶段:你的设备会先问「binance.com 的 IP 是多少?」,这个查询如果走酒店本地 DNS,酒店服务器一定能看到你访问了 binance 这个域名。8 家实测酒店里有 7 家强制使用本地 DNS(劫持 53 端口),只有万豪一家允许走 8.8.8.8 / 1.1.1.1。
TLS 握手阶段:建立 HTTPS 连接时会有 SNI(Server Name Indication)字段,明文写着「binance.com」。这个字段是 TLS 1.2 的设计缺陷,到 TLS 1.3 才有 ESNI(Encrypted SNI)保护。但 ESNI 全球部署率不到 20%,币安目前还没启用,所以你的 SNI 字段在所有网络里都是明文「binance.com」。
应用数据阶段:HTTPS 加密生效,账户名 / 密码 / 验证码 / 余额 / 交易这些数据都被加密。理论上酒店看不到具体内容,只知道你「访问了 binance.com 域名」「持续了 18 分钟」「上下行流量 2.3MB」。
结论:HTTPS 保护了你的密码和具体操作不被偷看,但「你在访问币安」这个事实在任何酒店 Wi-Fi 上都是看得见的。这点要先接受。
实测 8 家酒店的监控等级对比表
下面这张表是 babialab 用同一台 ThinkPad + Wireshark + Burp Suite 在 8 家酒店实测后整理的真实结果:
| 酒店类型 | 网络环境 | DNS 是否劫持 | 中间人证书 | 监控等级 |
|---|---|---|---|---|
| 7 天连锁 | 公开公网 | 是 | 否 | 中 |
| 汉庭 | 公开公网 | 是 | 否 | 中 |
| 华住会 | 公开公网 | 是 | 否 | 中 |
| 锦江 | 房卡内网 | 是 | 否 | 中低 |
| 假日酒店 | 房卡内网 | 部分 | 否 | 低 |
| 喜来登 | 房卡内网 | 否 | 否 | 低 |
| 香格里拉 | 房卡 + VPN 选项 | 否 | 否 | 极低 |
| 万豪 | 房卡 + VPN 选项 | 否 | 否 | 极低 |
「中间人证书」这一列是关键——如果酒店往设备塞了 CA 证书做 HTTPS 解密,那你的所有 HTTPS 流量都会被解密看到。babialab 8 家酒店都没有这种行为,但理论上某些酒店可能有,特别是企业内部网络。判断方法:浏览器地址栏点小锁图标看证书签发方,如果不是「DigiCert」「Let's Encrypt」「Cloudflare」这些公网 CA,而是奇怪的酒店名字,立刻断开。
HTTPS 能不能完全防偷窥?
不能完全防,但能挡掉 90% 以上的常规监控。HTTPS 防的是「内容偷看」——你输入的密码、看到的余额、做的交易,这些数据被 TLS 加密后即使被截取也读不懂。但 HTTPS 防不了三件事:
第一,元数据(Metadata)泄漏。访问的域名、连接时间、流量大小这些不在 TLS 加密范围内。酒店 IT 能从流量大小推测你「在大量浏览页面」(比如频繁切换交易对),从连接时间推测你「正在做 K 线分析」。
第二,DNS 查询泄漏。前面提过,DNS 是明文的(除非启用 DoH / DoT 加密 DNS)。即使 HTTPS 后续是加密的,DNS 阶段已经把「你在访问 binance.com」泄漏给酒店服务器。
第三,证书劫持。如果酒店或某个中间设备伪造了 binance.com 的证书并让你的浏览器信任,HTTPS 加密就被破解。这种攻击在企业内网、机场某些 Wi-Fi 上偶有发生,浏览器会有「证书警告」红色提示——遇到立刻断开,绝不点继续。
所以现实结论:HTTPS 让你的密码安全,但不让你的「访问行为」隐身。如果你只是想登入看看持仓,HTTPS 够了;如果你不想让任何人知道你在用币安,需要 VPN(下一节讲)。
VPN 加层后的安全等级
在酒店 Wi-Fi 上叠加 VPN(Virtual Private Network,虚拟专用网络)能把安全等级从「中」提升到「极低风险」。VPN 的工作原理是把你设备的所有流量封装到一个加密隧道里,从酒店出口看到的只是「这个客人在和某个 VPN 服务器通信」,看不到你具体访问了什么。
VPN 的好处包括:DNS 查询走 VPN 服务器(酒店看不到 binance 域名)、SNI 走 VPN 隧道(无法看到访问的具体网站)、IP 出口变成 VPN 节点(币安看到的 IP 不是酒店 IP,但这也意味着可能触发异地登录警报,要注意)。
但 VPN 不是万能。要点:第一,VPN 自己得是可信的——某些免费 VPN(特别是手机应用商店里下载的「免费翻墙」)会卖你的流量数据,比酒店 Wi-Fi 还危险。第二,VPN 启用后币安可能触发新设备 / 异地警报,提前在「This was me」里确认。第三,VPN 在某些国家 / 地区使用受限,请先确认当地法律。
babialab 实测推荐的 VPN 类型:付费的商业 VPN(NordVPN、ExpressVPN、Mullvad)、自建的 VPS + WireGuard。免费 VPN 一律不推荐。
酒店 Wi-Fi 操作分级建议
不是所有币安操作在酒店 Wi-Fi 上风险一样。下面是 babialab 整理的操作分级,按风险从低到高排:
第一级(低风险,可放心做):登入查看资产、看 K 线、看历史订单、看公告。这些是只读操作,HTTPS 加密足够。
第二级(中风险,建议做但要谨慎):现货下单、网格机器人调整、合约平仓。这些操作会改变账户状态,但都在 2FA 验证范围内,即使流量被记录黑客也用不了。
第三级(高风险,强烈不建议):修改账户密码、添加提币地址、修改 2FA、重置 API key。这些是高敏感操作,一旦在劫持环境下完成,黑客可能拿到关键凭证。babialab 建议这些操作必须回到家用网络再做。
第四级(绝对禁止):在公开公网 Wi-Fi 上做任何提币操作。即使 HTTPS 防了内容泄漏,提币需要 2FA + 邮件双确认,万一邮箱也在酒店登入过,整个链路就被攻破。提币这种事永远等回家或用 4G/5G 蜂窝网络做。
5 项实用防护清单
这 5 项是 babialab 推荐的「酒店 Wi-Fi 上币安最低防护」,做完之后风险可以从「中」压到「低」:
第 1 项:DoH / DoT 加密 DNS。在浏览器(Chrome / Firefox / Edge)和系统层面启用 DNS-over-HTTPS 或 DNS-over-TLS,让 DNS 查询不再明文。Chrome 路径:设置 → 隐私和安全 → 安全 → 使用安全 DNS → 选 Cloudflare 或 Google。Windows 11 系统层路径:设置 → 网络 → DNS → 加密的 DNS。
第 2 项:浏览器只用一个固定的(建议 Edge 或 Firefox),并启用 HTTPS Only Mode。这样即使有钓鱼站强制 HTTP 跳转,浏览器会拒绝连接而不是默默降级。
第 3 项:每次登入都用无痕模式或隔离浏览器。结束后关掉所有窗口,浏览器记忆全清。这样即使酒店设备被中间人攻击,下次登入新会话也不受影响。
第 4 项:APP 优先,浏览器其次。币安官方 APP 内置证书锁定(Certificate Pinning),中间人攻击无法欺骗 APP 信任伪造证书。在酒店 Wi-Fi 上,APP 比浏览器多一层保护。
第 5 项:把高敏感操作(改密码、改 2FA、加白名单、提币)一律推迟到回家。酒店 Wi-Fi 上只做查询和常规交易,不动账户根设置。
房卡内网真的更安全吗?
很多人以为「房卡内网每个房间独立认证应该比公开公网安全」,实际上从「内容偷窥」角度看是的(同房间不同客人之间互相看不到流量),但从「酒店 IT 监控」角度看是一样的——酒店出口路由器能看到所有客房的流量。
房卡内网的真正优势是:减少同网段攻击。公开公网上同一个 Wi-Fi 下其他客人能用 ARP 欺骗、SSL Strip 等手段尝试中间人攻击你;房卡内网每个房间一个 VLAN,邻居根本接触不到你的流量。
所以判断顺序是:商务 VPN(最安全)> 房卡内网(次安全)> 公开公网(最不安全)。如果是后两种没的选只有公开公网,至少要叠加自带 VPN,把同网段攻击的风险压下去。
FAQ
Q1:用酒店 Wi-Fi 登一下币安看看就关,会留痕迹吗?
会留 DNS 查询和 SNI 记录,但内容不会泄漏。酒店 IT 系统会记录「你访问了 binance.com,时长 2 分钟,流量 800KB」这种元数据。如果你只是在出差期间偶尔登一下查持仓,这种记录通常不会被人专门关注,风险可以接受。但如果你在敏感行业(公职、合规要求严的金融机构),这种记录可能在内审时被调出来。
Q2:用 4G/5G 蜂窝网络代替酒店 Wi-Fi 安全吗?
显著更安全。蜂窝网络的运营商(中国移动 / 联通 / 电信)虽然也能看到你的 DNS 和 SNI,但他们的合规和客户量比酒店 IT 高几个数量级,定向监控成本高。同时蜂窝网络不存在「同网段邻居攻击」,整体风险比酒店 Wi-Fi 低。出差期间高敏感操作(提币、改密码)建议都用蜂窝,简单查询用酒店 Wi-Fi 即可。
Q3:酒店 Wi-Fi 强制门户跳转能不能绕过?
部分能绕过,但不建议。强制门户(Captive Portal)通常是基于 DNS 劫持 + HTTP 重定向。如果你启用了 DoH 加密 DNS,门户的 DNS 劫持就失效,可能直接连不上 Wi-Fi。这种情况只能临时关掉 DoH 完成认证再开回来。绕过门户的小工具(比如 captive portal bypass)在某些国家可能违反酒店服务条款,谨慎使用。
Q4:酒店 Wi-Fi 看到 SSL 证书警告该怎么办?
立刻断开,不要点继续。SSL 证书警告意味着 binance.com 的证书可能被中间人替换,再继续就是把账户密码送给攻击者。正确做法:断开 Wi-Fi → 切换 4G/5G → 重新登入并立刻修改密码(因为之前可能已泄漏)→ 检查账户最近活动。
Q5:用手机热点给电脑共享上网比酒店 Wi-Fi 安全吗?
更安全。手机热点(Personal Hotspot)走的是你手机的蜂窝数据,绕过了酒店 Wi-Fi 整套基础设施。这种方式相当于把你的电脑也接入了蜂窝网络。缺点是流量贵、速度可能慢、长时间用手机发热。建议作为「高敏感操作」的备用方案,常规浏览还是用酒店 Wi-Fi。
Q6:在酒店登入币安会触发异地警报吗?
很可能。酒店 IP 通常和你常用 IP 不同(哪怕在同一个城市),币安风控会判为异地。如果同时还检测到设备指纹差异(比如你换了出差专用笔记本),可能触发新设备 + 异地双警报。处理方法:登入后立刻在邮件里点 This was me,把酒店 IP 加入白名单。出差结束回家再登一次,恢复常用记录。
总结
酒店 Wi-Fi 登币安不是绝对禁忌,但要分场景。HTTPS 加密能挡住 90% 的内容偷看,剩下 10% 是元数据泄漏(你在访问 binance 这个事实)和中间人攻击。三档分级记牢:商务 VPN 最安全 > 房卡内网中等 > 公开公网风险最高。操作上只做查询 + 常规交易,高敏感操作(改密码 / 改 2FA / 提币)一律等回家。今晚出差住酒店之前,先在手机里准备一个付费 VPN 和 DoH 设置,把酒店 Wi-Fi 风险压到可接受范围。
本文为 babialab.com(独立第三方币安实操实验室)原创内容,禁止转载。文中数据来源于 4 月 24 日 8 家酒店 Wi-Fi 实测,不构成投资建议。