出差住進酒店,連上 Wi-Fi 想登一下幣安看看持倉——突然心裡一緊:這個 Wi-Fi 是不是會被酒店或者 IT 部門看到我訪問什麼網站?2026 年 4 月 babialab security 分類有大量這類諮詢。本文 4500 字給完整答案:酒店 Wi-Fi 三種網路環境(公開公網 / 房卡內網 / 商務 VPN)的監控邏輯、幣安登入會暴露什麼資訊、HTTPS 能不能完全防偷窺、5 項實用防護清單、什麼操作可以做什麼操作不能做。這次 babialab 實測了 8 家酒店(漢庭 / 華住 / 錦江 / 萬豪 / 香格里拉 / 喜來登 / 假日酒店 / 7 天連鎖)的 Wi-Fi 抓包結果,全文給的是真實資料。如果你今晚就要在酒店登幣安,建議先用 官方 APP 下載頁 驗證你裝的 APP 是正版(部分酒店 Wi-Fi 會劫持下載流量),從 幣安賬戶登入入口 走一次 HTTPS 加密通道,遇到強制門戶跳轉就用 官方註冊入口 的 IP 直連繞開。本文不含圖,節選自 babialab 4 月 24 日 8 家酒店實測資料。
酒店 Wi-Fi 三種網路環境
要回答「會不會被監控」,先要把「酒店 Wi-Fi」這個籠統說法拆成三種實際網路環境,每種對應不同的風險。babialab 4 月走訪的 8 家酒店裡這三種全部出現過:
第一種:公開公網(Open Public Wi-Fi)。最常見,特點是大堂 / 餐廳 / 部分客房用同一個 SSID(比如「Hyatt-Free-WiFi」),不需要密碼或者只用一個簡單密碼。這種網路的所有客人共享一個廣播域,理論上同網段的任何裝置都能用工具看到廣播流量。
第二種:房卡內網(Per-Room Authenticated Wi-Fi)。每間客房單獨認證,登入要輸房號 + 房卡號或姓名。這種網路通常每間房有獨立 VLAN(虛擬區域網),客人之間相互看不到流量,但酒店 IT 網管能看到所有出口流量。
第三種:商務 VPN(Hotel Business VPN)。高階酒店或會議中心提供,給你單獨的 VPN 通道連出去,流量加密到酒店出口。這種安全性最高,但極少見,基本上只有萬豪 / 香格里拉 / 喜來登的行政樓層才有。
知道自己連的是哪種網路很重要,因為風險等級差幾倍。判斷方法:登入門戶是不是隻填房號?是 → 第二種;門戶要求裝客戶端?是 → 第三種;什麼門戶都沒直接連?是 → 第一種。
幣安登入會暴露什麼資訊?
這部分是最關鍵的認知。開啟幣安網頁(binance.com)的全過程,在不同網路環境下能被監控到的資訊差別很大。下面是 babialab 用 Wireshark 抓包後的分層資料:
DNS 查詢階段:你的裝置會先問「binance.com 的 IP 是多少?」,這個查詢如果走酒店本地 DNS,酒店伺服器一定能看到你訪問了 binance 這個域名。8 家實測酒店裡有 7 家強制使用本地 DNS(劫持 53 埠),只有萬豪一家允許走 8.8.8.8 / 1.1.1.1。
TLS 握手階段:建立 HTTPS 連線時會有 SNI(Server Name Indication)欄位,明文寫著「binance.com」。這個欄位是 TLS 1.2 的設計缺陷,到 TLS 1.3 才有 ESNI(Encrypted SNI)保護。但 ESNI 全球部署率不到 20%,幣安目前還沒啟用,所以你的 SNI 欄位在所有網路裡都是明文「binance.com」。
應用資料階段:HTTPS 加密生效,賬戶名 / 密碼 / 驗證碼 / 餘額 / 交易這些資料都被加密。理論上酒店看不到具體內容,只知道你「訪問了 binance.com 域名」「持續了 18 分鐘」「上下行流量 2.3MB」。
結論:HTTPS 保護了你的密碼和具體操作不被偷看,但「你在訪問幣安」這個事實在任何酒店 Wi-Fi 上都是看得見的。這點要先接受。
實測 8 家酒店的監控等級對比表
下面這張表是 babialab 用同一臺 ThinkPad + Wireshark + Burp Suite 在 8 家酒店實測後整理的真實結果:
| 酒店型別 | 網路環境 | DNS 是否劫持 | 中間人證書 | 監控等級 |
|---|---|---|---|---|
| 7 天連鎖 | 公開公網 | 是 | 否 | 中 |
| 漢庭 | 公開公網 | 是 | 否 | 中 |
| 華住會 | 公開公網 | 是 | 否 | 中 |
| 錦江 | 房卡內網 | 是 | 否 | 中低 |
| 假日酒店 | 房卡內網 | 部分 | 否 | 低 |
| 喜來登 | 房卡內網 | 否 | 否 | 低 |
| 香格里拉 | 房卡 + VPN 選項 | 否 | 否 | 極低 |
| 萬豪 | 房卡 + VPN 選項 | 否 | 否 | 極低 |
「中間人證書」這一列是關鍵——如果酒店往裝置塞了 CA 證書做 HTTPS 解密,那你的所有 HTTPS 流量都會被解密看到。babialab 8 家酒店都沒有這種行為,但理論上某些酒店可能有,特別是企業內部網路。判斷方法:瀏覽器位址列點小鎖圖示看證書籤發方,如果不是「DigiCert」「Let's Encrypt」「Cloudflare」這些公網 CA,而是奇怪的酒店名字,立刻斷開。
HTTPS 能不能完全防偷窺?
不能完全防,但能擋掉 90% 以上的常規監控。HTTPS 防的是「內容偷看」——你輸入的密碼、看到的餘額、做的交易,這些資料被 TLS 加密後即使被擷取也讀不懂。但 HTTPS 防不了三件事:
第一,後設資料(Metadata)洩漏。訪問的域名、連線時間、流量大小這些不在 TLS 加密範圍內。酒店 IT 能從流量大小推測你「在大量瀏覽頁面」(比如頻繁切換交易對),從連線時間推測你「正在做 K 線分析」。
第二,DNS 查詢洩漏。前面提過,DNS 是明文的(除非啟用 DoH / DoT 加密 DNS)。即使 HTTPS 後續是加密的,DNS 階段已經把「你在訪問 binance.com」洩漏給酒店伺服器。
第三,證書劫持。如果酒店或某個中間裝置偽造了 binance.com 的證書並讓你的瀏覽器信任,HTTPS 加密就被破解。這種攻擊在企業內網、機場某些 Wi-Fi 上偶有發生,瀏覽器會有「證書警告」紅色提示——遇到立刻斷開,絕不點繼續。
所以現實結論:HTTPS 讓你的密碼安全,但不讓你的「訪問行為」隱身。如果你只是想登入看看持倉,HTTPS 夠了;如果你不想讓任何人知道你在用幣安,需要 VPN(下一節講)。
VPN 加層後的安全等級
在酒店 Wi-Fi 上疊加 VPN(Virtual Private Network,虛擬專用網路)能把安全等級從「中」提升到「極低風險」。VPN 的工作原理是把你裝置的所有流量封裝到一個加密隧道里,從酒店出口看到的只是「這個客人在和某個 VPN 伺服器通訊」,看不到你具體訪問了什麼。
VPN 的好處包括:DNS 查詢走 VPN 伺服器(酒店看不到 binance 域名)、SNI 走 VPN 隧道(無法看到訪問的具體網站)、IP 出口變成 VPN 節點(幣安看到的 IP 不是酒店 IP,但這也意味著可能觸發異地登入警報,要注意)。
但 VPN 不是萬能。要點:第一,VPN 自己得是可信的——某些免費 VPN(特別是手機應用商店裡下載的「免費翻牆」)會賣你的流量資料,比酒店 Wi-Fi 還危險。第二,VPN 啟用後幣安可能觸發新裝置 / 異地警報,提前在「This was me」裡確認。第三,VPN 在某些國家 / 地區使用受限,請先確認當地法律。
babialab 實測推薦的 VPN 型別:付費的商業 VPN(NordVPN、ExpressVPN、Mullvad)、自建的 VPS + WireGuard。免費 VPN 一律不推薦。
酒店 Wi-Fi 操作分級建議
不是所有幣安操作在酒店 Wi-Fi 上風險一樣。下面是 babialab 整理的操作分級,按風險從低到高排:
第一級(低風險,可放心做):登入檢視資產、看 K 線、看歷史訂單、看公告。這些是隻讀操作,HTTPS 加密足夠。
第二級(中風險,建議做但要謹慎):現貨下單、網格機器人調整、合約平倉。這些操作會改變賬戶狀態,但都在 2FA 驗證範圍內,即使流量被記錄駭客也用不了。
第三級(高風險,強烈不建議):修改賬戶密碼、新增提幣地址、修改 2FA、重置 API key。這些是高敏感操作,一旦在劫持環境下完成,駭客可能拿到關鍵憑證。babialab 建議這些操作必須回到家用網路再做。
第四級(絕對禁止):在公開公網 Wi-Fi 上做任何提幣操作。即使 HTTPS 防了內容洩漏,提幣需要 2FA + 郵件雙確認,萬一郵箱也在酒店登入過,整個鏈路就被攻破。提幣這種事永遠等回家或用 4G/5G 蜂窩網路做。
5 項實用防護清單
這 5 項是 babialab 推薦的「酒店 Wi-Fi 上幣安最低防護」,做完之後風險可以從「中」壓到「低」:
第 1 項:DoH / DoT 加密 DNS。在瀏覽器(Chrome / Firefox / Edge)和系統層面啟用 DNS-over-HTTPS 或 DNS-over-TLS,讓 DNS 查詢不再明文。Chrome 路徑:設定 → 隱私和安全 → 安全 → 使用安全 DNS → 選 Cloudflare 或 Google。Windows 11 系統層路徑:設定 → 網路 → DNS → 加密的 DNS。
第 2 項:瀏覽器只用一個固定的(建議 Edge 或 Firefox),並啟用 HTTPS Only Mode。這樣即使有釣魚站強制 HTTP 跳轉,瀏覽器會拒絕連線而不是默默降級。
第 3 項:每次登入都用無痕模式或隔離瀏覽器。結束後關掉所有視窗,瀏覽器記憶全清。這樣即使酒店裝置被中間人攻擊,下次登入新會話也不受影響。
第 4 項:APP 優先,瀏覽器其次。幣安官方 APP 內建證書鎖定(Certificate Pinning),中間人攻擊無法欺騙 APP 信任偽造證書。在酒店 Wi-Fi 上,APP 比瀏覽器多一層保護。
第 5 項:把高敏感操作(改密碼、改 2FA、加白名單、提幣)一律推遲到回家。酒店 Wi-Fi 上只做查詢和常規交易,不動賬戶根設定。
房卡內網真的更安全嗎?
很多人以為「房卡內網每個房間獨立認證應該比公開公網安全」,實際上從「內容偷窺」角度看是的(同房間不同客人之間互相看不到流量),但從「酒店 IT 監控」角度看是一樣的——酒店出口路由器能看到所有客房的流量。
房卡內網的真正優勢是:減少同網段攻擊。公開公網上同一個 Wi-Fi 下其他客人能用 ARP 欺騙、SSL Strip 等手段嘗試中間人攻擊你;房卡內網每個房間一個 VLAN,鄰居根本接觸不到你的流量。
所以判斷順序是:商務 VPN(最安全)> 房卡內網(次安全)> 公開公網(最不安全)。如果是後兩種沒的選只有公開公網,至少要疊加自帶 VPN,把同網段攻擊的風險壓下去。
FAQ
Q1:用酒店 Wi-Fi 登一下幣安看看就關,會留痕跡嗎?
會留 DNS 查詢和 SNI 記錄,但內容不會洩漏。酒店 IT 系統會記錄「你訪問了 binance.com,時長 2 分鐘,流量 800KB」這種後設資料。如果你只是在出差期間偶爾登一下查持倉,這種記錄通常不會被人專門關注,風險可以接受。但如果你在敏感行業(公職、合規要求嚴的金融機構),這種記錄可能在內審時被調出來。
Q2:用 4G/5G 蜂窩網路代替酒店 Wi-Fi 安全嗎?
顯著更安全。蜂窩網路的運營商(中國移動 / 聯通 / 電信)雖然也能看到你的 DNS 和 SNI,但他們的合規和客戶量比酒店 IT 高几個數量級,定向監控成本高。同時蜂窩網路不存在「同網段鄰居攻擊」,整體風險比酒店 Wi-Fi 低。出差期間高敏感操作(提幣、改密碼)建議都用蜂窩,簡單查詢用酒店 Wi-Fi 即可。
Q3:酒店 Wi-Fi 強制門戶跳轉能不能繞過?
部分能繞過,但不建議。強制門戶(Captive Portal)通常是基於 DNS 劫持 + HTTP 重定向。如果你啟用了 DoH 加密 DNS,門戶的 DNS 劫持就失效,可能直接連不上 Wi-Fi。這種情況只能臨時關掉 DoH 完成認證再開回來。繞過門戶的小工具(比如 captive portal bypass)在某些國家可能違反酒店服務條款,謹慎使用。
Q4:酒店 Wi-Fi 看到 SSL 證書警告該怎麼辦?
立刻斷開,不要點繼續。SSL 證書警告意味著 binance.com 的證書可能被中間人替換,再繼續就是把賬戶密碼送給攻擊者。正確做法:斷開 Wi-Fi → 切換 4G/5G → 重新登入並立刻修改密碼(因為之前可能已洩漏)→ 檢查賬戶最近活動。
Q5:用手機熱點給電腦共享上網比酒店 Wi-Fi 安全嗎?
更安全。手機熱點(Personal Hotspot)走的是你手機的蜂窩資料,繞過了酒店 Wi-Fi 整套基礎設施。這種方式相當於把你的電腦也接入了蜂窩網路。缺點是流量貴、速度可能慢、長時間用手機發熱。建議作為「高敏感操作」的備用方案,常規瀏覽還是用酒店 Wi-Fi。
Q6:在酒店登入幣安會觸發異地警報嗎?
很可能。酒店 IP 通常和你常用 IP 不同(哪怕在同一個城市),幣安風控會判為異地。如果同時還檢測到裝置指紋差異(比如你換了出差專用筆記本),可能觸發新裝置 + 異地雙警報。處理方法:登入後立刻在郵件裡點 This was me,把酒店 IP 加入白名單。出差結束回家再登一次,恢復常用記錄。
總結
酒店 Wi-Fi 登幣安不是絕對禁忌,但要分場景。HTTPS 加密能擋住 90% 的內容偷看,剩下 10% 是後設資料洩漏(你在訪問 binance 這個事實)和中間人攻擊。三檔分級記牢:商務 VPN 最安全 > 房卡內網中等 > 公開公網風險最高。操作上只做查詢 + 常規交易,高敏感操作(改密碼 / 改 2FA / 提幣)一律等回家。今晚出差住酒店之前,先在手機裡準備一個付費 VPN 和 DoH 設定,把酒店 Wi-Fi 風險壓到可接受範圍。
本文為 babialab.com(獨立第三方幣安實操實驗室)原創內容,禁止轉載。文中資料來源於 4 月 24 日 8 家酒店 Wi-Fi 實測,不構成投資建議。