Clash Verge logo Clash Verge開源跨平台代理客戶端

核心功能

DNS 設定與防洩漏:fake-ip 機制解釋

釋出於 · 更新於 · 2 分鐘讀完

DNS 是代理鏈路裡最容易被忽視的一環:流量走了加密隧道,域名解析卻明文發給了本地運營商——這就是 DNS 洩漏,它會暴露你訪問了哪些網站。Clash Verge 預設設定已經做了防護,這篇講清楚它是怎麼工作的,以及哪些設定不要亂動。

fake-ip 模式下,真實域名解析發生在代理伺服器一端
fake-ip 模式下,真實域名解析發生在代理伺服器一端

fake-ip:預設且推薦

應用發起 DNS 查詢時,核心並不真的去解析,而是立刻返回一個保留段的假地址(198.18.0.0/16)。應用拿著假 IP 發起連線,核心收到後反查出對應域名,再按域名走規則——需要代理的,把域名直接發給節點,由節點在遠端解析。整個過程裡,被代理域名的解析從未在本地發生,自然無從洩漏。

好處還有速度:省去了等待真實解析的時間,建連更快。

redir-host:相容模式

核心真實解析域名後返回真 IP。相容性好一點(個別程式不適應假 IP),但解析行為發生在本地,需要額外設定加密 DNS 才能防洩漏。除非遇到明確的相容問題,沒有理由換它。

fake-ip-filter:該直連解析的域名

有些域名必須拿到真 IP 才能正常工作,典型的有區域網裝置、NTP 時間同步、部分遊戲登入。預設設定已包含常用白名單,需要補充時在Merge 設定裡寫:

dns:
  fake-ip-filter:
    - "*.lan"
    - "+.ntp.org"
    - "+.stun.*.*"
    - "+.mynas.example.com"

驗證有沒有洩漏

掛上代理訪問 dnsleaktest.com 跑 Standard Test:結果裡只出現節點所在地區的 DNS 伺服器就是安全的;混進了你本地運營商的伺服器,說明存在洩漏——檢查是否用了 redir-host,或 TUN 模式的 DNS 劫持被關掉了(見 TUN 引數說明)。

注意

別在系統網絡卡上手動填公共 DNS(8.8.8.8 之類)來「最佳化」,這會繞過核心的 DNS 處理,反而製造洩漏。DNS 的事交給核心。

還沒有安裝 Clash Verge?

Windows 64 位安裝包 · v2.5.1 · 免費開源

下載 v2.5.1