[经验] 一个Clash的DNS泄露的bug

理论上，在fakeip模式下，只要配置合理（在匹配到对应规则之前，前面的规则不会导致产生DNS解析请求），只有直连的请求才会在本地解析DNS，所有通过服务器的以及被拦截的请求不会在本地产生DNS解析请求记录。
clash在处理UDP请求时，会尝试寻找已经存在的socket进行复用，这个时候会对所有域名在本地查DNS缓存，缓存里没有的会进行DNS解析，导致了DNS泄露。
Chrome等浏览器，默认会尝试使用QUIC。第一次请求的时候本地的缓存里是查不到这个记录的，所以会在本地发起DNS解析的请求，导致浏览器查看的网址DNS泄露。

具体导致泄露的代码在tunnel.go里的handleUDPConn函数里的"local resolve UDP dns"部分，具体代码如下（以clash开源版代码为准）：

这段代码在最开始的地方，在分流代码之前，所以会对所有请求进行DNS解析（包括通过服务器连接的、被拦截的）。

检查了一下Clash.Meta的代码，相同的代码也存在，所以Clash.Meta也有相同的问题。根据作者的提交记录（见下面），代码是从premium版本同步过来的，所以盲猜premium版本也有此问题。

解决方法（二选一）：
第一种：在resolver中增加一个只查本地DNS缓存，不进行网络请求的查询函数来替换这里的resolver.LookupIP。由于clash已经删库了，所以只能自己进行。
第二种：没有能力自己改代码的mjj，可以在DNS的fallback-filter里指定敏感的网址只走国外的特定服务器（必须是加密的，不然也没用），这样就算本地多一次无用DNS查询，也不会导致DNS泄露给国内的DNS服务器。
第二种方法的缺点就是依然会多一次DNS请求，并且要持续维护这个列表。

P.S.我下午尝试用第一种方法修复了一下，添加只查询本地DNS缓存的方法以后依然要修改其他几个地方。
1、如果你在使用VMess协议的话，vmess.go中的ListenPacketContext函数依然会在分流前发起DNS请求，这里的代码需要处理（注销掉DNS查询代码，后续修改见后面）。
2、tunnel/connection.go函数中的handleUDPToRemote需要使用DNS解析出来的IP地址，这里要改成也可以使用域名。如果这里要可以使用域名，constant/adapters.go中的接口PacketConn需要增加支持新的传递UDP包的函数（之前复用的net.PacketConn包中的WriteTo，所以只能传递IP地址）。
3、WriteTo函数接口修改以后，需要修改所有出站协议的WriteTo实现。

感谢分享。

但六扇门要是根据DNS泄露来请喝茶，那他们整天啥事都不用做了，14亿人得有一半得去一趟。。。

BTW，真在意的话，直接把浏览器里的quic关掉更简单：chrome://flags/#enable-quic

见到一千元的罚款单和保证书以后就有所谓了

怎么操作？有教程吗

这个不错，之前没发现QUIC可以关掉

* 使用no-resolve规则
rules:
  – DOMAIN-KEYWORD google.com, FB.com no-resolve

* 使用fallback-filter规则
fallback-filter:
  geosite: !geosite
  name: local_dns
  server:
    – 192.168.1.1
    – 8.8.8.8

请注意，这些只是一些示例配置，您需要根据自己的实际情况进行调整。有关Clash DNS泄露的更多信息，请参阅Clash官方文档：https://github.com/vernesong/OpenClash/issues/1682