nuomiphp
正在加载…
请使用更现代的浏览器并启用 JavaScript 以获得最佳浏览体验。
加载论坛时出错,请强制刷新页面重试。
使用 clash 上网时应对 dns 泄露的心得
SenLief
解决的最佳手段就是所有的 dns 请求 8.8.8.8
mschultz
SenLief
#20 我以为明文的 8.8.8.8 已经几乎等价于设置为运营商 DNS 了。先不说有没有境内 Anycast 以及延迟问题,反正查询一定会被监听,被污染的域名也一定会被抢答… 所以在中国大陆环境下设置 DNS 为明文的 8.8.8.8 应该没有任何意义吧。
xwhxbg
所谓的全局+系统代理看起来说的应该是隧道模式,也就是所有流量不管是不是要走 direct 都按照虚拟网卡( tun )=>tun2socks=>lwip/gvisor=>clash=>rule match=>remote 这个形式
这种模式下某些 clash 客户端做的是直接把你发往 53 端口的 udp packet 全都通过软路由或者 hard coding 丢进 clash 启动的 dns 服务器,这里再根据你的配置是否走 fake ip 还是 resolve ,开源版本是直接 dial 出去了,但是这个 dial 又会走进刚才那一套重新看 match 哪个 rule ,因为这个 dial 没有 mark socket ,然后如果你写的是 MATCH,US 也就是全局走 US ,那么 dns 的请求就会 match 到这个,dial 的时候就会走 US 的服务器
所以你如果想要的是非全局模式下也能让 dns 走 remote 再出去,可以直接写一条针对你 dns 服务器的规则就行了,因为比如 trojan 的协议是 tls 的,dns 请求虽然是明文的但是走了 trojan 再出去就不是了
clash 的 dns 配置开源版本是支持 https ,tls ,tcp 和普通的 udp 的,但是 tcp 和 https 的 bug 太特么多了,要是不想改代码不建议直接用
RageBubble
xwhxbg
我这里说的就是系统代理,没有涉及 tun 模式
wzhpro
你们应该再担心下 ipv6 泄露
qiankun10101111
wzhpro
终于看见有人提 IPv6 泄漏 DNS 了
Jirajine
如果你的使用场景涉及不想让其他实体知道你访问的网站,那么你就不是 clash 的目标用户。你有空抓包不如去看看代码,看了你就会知道你现在所做的这些就如同用筛子装水,漏洞百出。
ochatokori
https://github.com/vernesong/OpenClash/issues/3843#issuecomment-2054031364
用的这个配置,在你发的这个检测网站测不出来。
但是把,只要用分流模式就很难避免泄漏,只要同时请求你分流的不同区域查询 ip 服务,只要不一致那肯定有一边开了代理
jackOff
dns 分流应该是其他软件的职责,clash 的职责撑死就应该只是代理加一个 fakeip ,过多的 one for all 导致的结果就是普通设备跑 clash 的速度都很不理想
zbowen66
我不专业,我用 MosDNS 作为 Clash 的 DNS 上游,没有出现泄露
jqtmviyu
所以这样的设置有问题吗?(实在有点难看懂)
dns:
enable: true
ipv6: true
listen: '0.0.0.0:53' # 监听所有 53 端口
use-hosts: true
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
fake-ip-filter:
- '*.lan'
default-nameserver: # 解析 nameserver
- 223.5.5.5
- 119.29.29.29
nameserver:
- https://223.5.5.5/dns-query # 阿里
- https://120.53.53.53/dns-query # 腾讯
fallback:
- https://1.1.1.2/dns-query # cloudflare (过滤恶意网站)
- https://1.0.0.2/dns-query # cloudflare (过滤恶意网站)
- https://208.67.222.222/dns-query # OpenDNS
- https://208.67.220.220/dns-query
- https://9.9.9.9/dns-query # IBM Quad9 (过滤恶意网站)
fallback-filter: # 满足条件的将使用 fallback
geoip: true
geoip-code: CN # 除了配置的国家 IP, 其他的 IP 结果会被视为污染
geosite: # 列表的内容被视为已污染
- gfw
ipcidr: # 这些网段的结果会被视为污染
- 240.0.0.0/4
RageBubble
jqtmviyu
ipcidr 和 fake-ip-filter 还可以继续完善补充,但这样的设置对普通人上网来说已经可以了。
Blankspacee
鉴定完毕,看不良林看多了。
RageBubble
Blankspacee
并不认识
danbai
直接用 warp
xwhxbg
RageBubble
指向不明,系统代理说的如果是网络设置里面的 http https 代理,那个不可能代理 udp 流量,所以试图用这个来代理普通 dns 怕是不行
RageBubble
xwhxbg
据我所知,clash 内置的 dns 模块本身就会劫持和处理 dns 请求,然后再决定是否本机发出解析请求还是让远程代理服务器解析。和 clash 是否使用的是 http 还是 socks5 代理没有关系,这应该是两个不同的部分。
RageBubble
xwhxbg
#33 遵循系统代理的软件把 dns 请求发到了 clash 上,这个过程确实没有“代理”dns
zhy0216
想不明白 ipleak 是怎么知道你用哪个 dns 解析的?
RageBubble
zhy0216
在 DNS 泄露检测服务中,通过创建专门的测试域名和设置这些测试域名的 NS 记录(指明哪些 DNS 服务器是负责处理特定域名的查询)指向检测服务控制的 DNS 服务器,检测服务可以追踪所有对这个子域名的查询。当设备尝试解析这些测试域名时,所有的 DNS 请求将被发送到有检测服务的服务器,允许服务检测是否有任何非预期的 DNS 服务器在处理这些查询。
icy37785
所谓应对 dns 泄漏没有任何意义。互联网民科特别喜欢跟 dns 过不去,不是做无用功就是反方向做功。坏就就坏在互联网民科的经验分享充满了整个互联网,把你这样的青春少年都带偏了。
RageBubble
icy37785
如果不忍心看着我们被带偏,那就好心给我们科普一下,为什么应对 dns 泄漏没有任何意义。怎么界定互联网民科,为什么互联网民科不是做无用功就是反方向做功?你有什么好的上网隐私保护建议?
vocaloid
你把主流国外网站列出来放到配置里强制走远端代理就好了,doh 的话解析速度太慢了,实在受不了
« 上一页
下一页 »