INFO

DNS泄露常见问题与检测网站 ​

DNS泄露常见问题回答 ​

核心概念 ​

• DNS（域名解析）：把域名转成 IP（例：baidu.com → 110.242.68.66）；TCP/IP 通信必须有 IP 才能建立连接。
• DNS 泄露：本应由代理（跳板/魔法服务器）完成的 DNS 查询，从本地网络发出或曾发出，暴露了访问意图。
• FakeIP：给本机返回占位的假 IP（常见 198.18.x.x），本机用假 IP 建连，真正的解析由代理端完成，避免本地泄露。

为什么会发生 DNS 泄露 ​

• 本机在建立 TCP 连接前会发 DNS；使用代理时若流程或路由不当，就会在本地触发解析。
• 某些路由规则需要把域名解析成 IP来做 IP 匹配（fallback 情形），这类情况最容易导致本地 DNS 请求。

泄露的后果 ​

• 隐私暴露：本地运营商 / 网管能看到你访问了哪个站点。
• 服务可用性受影响：目标网站可能根据 DNS 判断地理位置，进而拒绝服务（常见于流媒体、部分 AI 服务）。
• 风险差异：对普通站点影响有限；访问敏感/违规内容时风险明显增大。

在「猫咪」（示例）中会发生的两次 DNS 场景 ​

1. 第一次（建连）：浏览器发起 → 触发 FakeIP → 得到假 IP → 建立连接（正常）。
2. 第二次（路由）：在路由判断时若需要 IP 来匹配规则，会发 DNS 得真实 IP；若该解析在本地发生就会泄露。第二次中「需要把域名解析后再匹配 IP」是最危险的情况。

防止 DNS 泄露的实操建议 ​

• 优先使用 Tun + FakeIP 模式，让本地只拿假 IP，真实解析在代理端进行。
• 路由优先使用 域名匹配；对会触发本地解析的场景，启用 no-resolve（跳过本地解析，继续按域名匹配）。
• 可选：开启全局模式能简单粗暴避免大部分泄露，但牺牲灵活性和体验，不是首选。
• 对被劫持或敏感域名，强制走节点或为其指定独立 nameserver-policy（单独 DNS 服务器）。

常见问答（精要） ​

• 全局能否万无一失？ 一般可，但极少数协议（如 QUIC/基于 UDP）仍可能泄露，需额外处理（例如浏览器关闭 QUIC）。
• 要不要用 mosdns？ 单纯为防泄露通常没必要，因其规则与代理分流重复；只有需要 DNS 缓存、IP 择优等功能时再考虑。
• 本地 app 随机 ping 外网地址会泄露吗？ ping 返回的是 FakeIP，不会直接暴露真实目标，但视具体路由/规则实现。

关于 DNS 劫持 ​

• 被判为 Direct（直连）的域名在本地解析时可能被篡改/劫持。
• 处理办法：把这类域名强制走代理节点，或为其指定专用 DNS（nameserver-policy）。

关注点与适用人群 ​

• 不同用户关注点不同：
  • 流媒体 / 风控严格网站：重视 可用性（避免被拒绝）。
  • 监管 / 反诈担忧：重视 隐私与安全（降低被标记风险）。
  • 公司 / 学校用户：重视 隐私防审计（防止被发现摸鱼）。

简要总结 ​

• DNS 泄露风险因场景而异，对普通用户影响有限，但对跨境电商、隐私敏感或技术研究者非常重要。
• 推荐配置：
  1. 使用 Tun + FakeIP 模式。
  2. 路由尽量使用 域名匹配，启用 no-resolve。
  3. 对少数被劫持或敏感域名设专用 DNS 或强制代理。

其他DNS泄露检测网站 ​

• https://browserleaks.com/dns
• https://ipleak.net
• https://www.dnscheck.tools/ (测试你的 DNS 解析结果是否由 DNSSEC 校验/验证)
• https://www.cloudflare.com/zh-cn/ssl/encrypted-sni/ (cloudflare esni测试是补充测试，有4个√最好)