DNS 洩漏:檢測方法與修復
DNS 洩漏指:流量本身走了代理,但域名解析請求仍以明文發給了本地運營商的 DNS——對方雖看不到你的流量內容,卻能完整記錄你解析過哪些域名。
檢測
開啟代理後訪問任一 DNS 洩漏檢測網站(搜尋 "dns leak test"),執行擴充套件測試:
- 結果裡只有代理出口所在地的 DNS 伺服器 → 無洩漏;
- 出現本地運營商(中國電信/聯通/移動)的伺服器 → 存在洩漏。
修復組合拳
- 啟用 fake-ip 模式:瀏覽器等應用的域名解析在本地被 Clash 用假 IP 應答,真實解析發生在代理遠端,從源頭消除大部分洩漏(見《fake-ip 與 redir-host》);
- 上游 DNS 換加密:Clash 自身需要的解析走 DoH/DoT,配置見《自定義 DNS》;
- 需要全域性兜底時開 TUN:配合
dns-hijack把系統裡所有發往 53 埠的查詢強制劫持給 Clash 處理,連不走系統代理的程式的 DNS 也一併接管。
修復後重新跑一次檢測確認。順帶一提:IPv6 環境下洩漏路徑更多,若檢測反覆不乾淨且不依賴 IPv6,可在 General 頁面關閉 IPv6 再測。