一个Clash的DNS泄露的bug
-
_ 本帖最后由 他回精神病院了 于 2024-6-8 18:59 编辑 本帖最后由 他回精神病院了 于 2024-6-8 18:59 编辑_
理论上,在fakeip模式下,只要配置合理(在匹配到对应规则之前,前面的规则不会导致产生DNS解析请求),只有直连的请求才会在本地解析DNS,所有通过服务器的以及被拦截的请求不会在本地产生DNS解析请求记录。
clash在处理UDP请求时,会尝试寻找已经存在的socket进行复用,这个时候会对所有域名在本地查DNS缓存,缓存里没有的会进行DNS解析,导致了DNS泄露。
Chrome等浏览器,默认会尝试使用QUIC。第一次请求的时候本地的缓存里是查不到这个记录的,所以会在本地发起DNS解析的请求,导致浏览器查看的网址DNS泄露。具体导致泄露的代码在tunnel.go里的handleUDPConn函数里的"local resolve UDP dns"部分,具体代码如下(以clash开源版代码为准):
-
golang
golang -
// local resolve UDP dns // local resolve UDP dns
-
if !metadata.Resolved() { if !metadata.Resolved() {
-
ips, err := resolver.LookupIP(context.Background(), metadata.Host) ips, err := resolver.LookupIP(context.Background(), metadata.Host)
-
if err != nil { if err != nil {
-
packet.Drop() packet.Drop()
-
return return
-
} else if len(ips) == 0 { } else if len(ips) == 0 {
-
packet.Drop() packet.Drop()
-
return return
-
} }
-
metadata.DstIP = ips[0] metadata.DstIP = ips[0]
-
} }
-
这段代码在最开始的地方,在分流代码之前,所以会对所有请求进行DNS解析(包括通过服务器连接的、被拦截的)。
检查了一下Clash.Meta的代码,相同的代码也存在,所以Clash.Meta也有相同的问题。根据作者的提交记录(见下面),代码是从premium版本同步过来的,所以盲猜premium版本也有此问题。
-
git log
git log -
commit 3946d771e52fb72dfc91543dda8c785597622a9bcommit 3946d771e52fb72dfc91543dda8c785597622a9b
-
Author: Dreamacro <Author: Dreamacro <https://hostloc.com//cdn-cgi/l/email-protection- [email protected][email protected]>>
-
Date: Sat Aug 13 13:07:35 2022 +0800Date: Sat Aug 13 13:07:35 2022 +0800
-
Feature: sync missing resolver logic from premium, but still net.IP on opensource Feature: sync missing resolver logic from premium, but still net.IP on opensource
-
diff --git a/tunnel/tunnel.go b/tunnel/tunnel.godiff --git a/tunnel/tunnel.go b/tunnel/tunnel.go
-
--- a/tunnel/tunnel.go--- a/tunnel/tunnel.go
-
+++ b/tunnel/tunnel.go+++ b/tunnel/tunnel.go
-
@@ -183,1 +183,1 @@@@ -183,1 +183,1 @@
-
- ip, err := resolver.ResolveIP(metadata.Host)- ip, err := resolver.ResolveIP(metadata.Host)
-
+ ips, err := resolver.LookupIP(context.Background(), metadata.Host)+ ips, err := resolver.LookupIP(context.Background(), metadata.Host)
-
解决方法(二选一):
第一种:在resolver中增加一个只查本地DNS缓存,不进行网络请求的查询函数来替换这里的resolver.LookupIP。由于clash已经删库了,所以只能自己进行。
第二种:没有能力自己改代码的mjj,可以在DNS的fallback-filter里指定敏感的网址只走国外的特定服务器(必须是加密的,不然也没用),这样就算本地多一次无用DNS查询,也不会导致DNS泄露给国内的DNS服务器。
第二种方法的缺点就是依然会多一次DNS请求,并且要持续维护这个列表。P.S.我下午尝试用第一种方法修复了一下,添加只查询本地DNS缓存的方法以后依然要修改其他几个地方。
1、如果你在使用VMess协议的话,vmess.go中的ListenPacketContext函数依然会在分流前发起DNS请求,这里的代码需要处理(注销掉DNS查询代码,后续修改见后面)。
2、tunnel/connection.go函数中的handleUDPToRemote需要使用DNS解析出来的IP地址,这里要改成也可以使用域名。如果这里要可以使用域名,constant/adapters.go中的接口PacketConn需要增加支持新的传递UDP包的函数(之前复用的net.PacketConn包中的WriteTo,所以只能传递IP地址)。
3、WriteTo函数接口修改以后,需要修改所有出站协议的WriteTo实现。 -
-
https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15611316&ptid=1315189- 他回精神病院了 发表于 2024-6-8 14:17他回精神病院了 发表于 2024-6-8 14:17
见到一千元的罚款单和保证书以后就有所谓了
见到一千元的罚款单和保证书以后就有所谓了感谢分享。
但六扇门要是根据DNS泄露来请喝茶,那他们整天啥事都不用做了,14亿人得有一半得去一趟。。。
BTW,真在意的话,直接把浏览器里的quic关掉更简单:chrome://flags/#enable-quic
-
https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15611311&ptid=1315189- hcyme 发表于 2024-6-8 14:16hcyme 发表于 2024-6-8 14:16
无所谓,只要油管保证十万以上,爱谁谁
无所谓,只要油管保证十万以上,爱谁谁见到一千元的罚款单和保证书以后就有所谓了
-
我是设置dns为adg,然后adg分流,只要国外的网站就走国外doh查询
-
https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15611464&ptid=1315189- server0608 发表于 2024-6-8 15:12server0608 发表于 2024-6-8 15:12
我是设置dns为adg,然后adg分流,只要国外的网站就走国外doh查询
我是设置dns为adg,然后adg分流,只要国外的网站就走国外doh查询怎么操作?有教程吗
-
https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15611481&ptid=1315189- 在7楼 发表于 2024-6-8 15:18在7楼 发表于 2024-6-8 15:18
感谢分享。
感谢分享。但六扇门要是根据DNS泄露来请喝茶,那他们整天啥事都不用做了,14亿人得有一半得去一趟。。 ...
但六扇门要是根据DNS泄露来请喝茶,那他们整天啥事都不用做了,14亿人得有一半得去一趟。。 ...这个不错,之前没发现QUIC可以关掉
-
Clash的DNS泄露是指在使用Clash的情况下,部分DNS请求没有通过代理服务器进行解析,导致您的真实IP地址或DNS服务器信息可能被泄露。
解决Clash DNS泄露的一般方法如下:-
使用加密DNS
使用加密DNS可以防止您的DNS请求被监听和窃取。Clash支持多种加密DNS协议,例如DoH、DoT和DNSCrypt。您可以根据自己的需要选择合适的加密DNS协议和服务器。 -
使用no-resolve规则
no-resolve规则可以阻止Clash解析特定域名的DNS请求。您可以将需要通过直连方式访问的域名添加到no-resolve规则中,以防止这些域名的DNS请求泄露。 -
使用fallback-filter规则
fallback-filter规则可以指定Clash在无法通过代理服务器解析域名时使用的DNS服务器。您可以将您的本地DNS服务器或其他可信任的DNS服务器添加到fallback-filter规则中。
以下是一些具体的配置示例: -
使用DoH加密DNS
rules:
- DOMAIN-SUFFIX .example.com, .example.net DOH https://hostloc.com//cdn-cgi/l/email-protection#a4958a958a958a95e4c0cad78ac7c8cbd1c0c2c8c5d6c18ac7cbc9- [email protected][email protected] -
使用no-resolve规则
rules:
- DOMAIN-KEYWORD google.com, FB.com no-resolve -
使用fallback-filter规则
fallback-filter:
geosite: !geosite
name: local_dns
server:
- 192.168.1.1
- 8.8.8.8
请注意,这些只是一些示例配置,您需要根据自己的实际情况进行调整。有关Clash DNS泄露的更多信息,请参阅Clash官方文档:https://github.com/vernesong/OpenClash/issues/1682
-