@superht #79

那张图想表达的应该是 fakeip 模式下，两种二选一的逻辑，不知道这样理解对不对：
"fakeip-direct 未命中"是指未命中 fakeip 缓存、且规则为直连的域名 。
"fakeIP 未命中,代理域名"是指未命中 fakeip 缓存、且规则为代理的域名。

clash verge rev 未来会移除 fallback-filter 的 geosite ，建议直接使用 nameserver-policy 中的 geosite, nameserver-policy 优先于 nameserver/fallback 查询

@isukkaw 我在自己的电脑上测试了一下：

fakeip 似乎只会在 tun 模式开启后才使用

tun 规则模式下：
如果最后是代理连接，clash 中的 fallback 查询 dns （以太网接口），程序用 fakeip 发起 tcp 连接（ tun 接口），使用代理服务器发起 tcp 连接（以太网接口）。

如果是直连，clash 中的 nameserver 查询 dns （以太网接口），程序用 fakeip 发起 tcp 连接（ tun 接口），本机对真实 ip 发起的 tcp 请求（以太网接口）。

代理软件 clash 在 fakeip 模式下还是会进行 DNS 解析，这点和你文章中说的有些不同

系统代理下：
程序会直接通过 http 代理与 clash 建立 tcp 连接，然后 clash 去处理域名解析（程序发送 client hello 后到服务器返回 server hello 之间有明显的时间间隔，就是用来处理域名解析的时间）

@xwhxbg #62 以浏览器举例，系统代理下，浏览器发出域名请求，只需要把域名封装到 http 或者 socks5 代理中交给 clash 处理，和 udp 什么的没关系。

@RageBubble #50 泄露是因为没有在 clash verge rev 上的 tun 设置中开启“严格路由”，导致 windows 使用了智能多宿主名称解析，让系统 dns 也去解析域名。要避免这一点，一个是开启“严格路由”，另一个就是手动关闭 windows 上的智能多宿主名称解析服务。直接去修改系统 dns 也是一种办法，但没有前两种方法更直接。

@superht 那张图中的 fakeip 未命中又该怎么理解呢？

@BadFox 这是 mihomo 官方 wiki 中的图片，不是我画的

@isukkaw 我刚好有个问题想请教一下您。在 tun 模式下，wireshark 捕获 tun 网卡可以直接看到发起的 dns 请求与返回的 fakeip （ 198.18.0.1/16 ），但是在系统代理下，为什么我在 loopback traffic capture 接口上却看不到发起的 dns 请求或者任何返回的 fakeip 呢，是因为 clash 的 fakeip 只会在 tun 模式下生效吗还是因为某种原因不经过 loopback 接口？

@isukkaw 哈哈，今天正好在都你网站上写的“浅谈在代理环境中的 DNS 解析行为”

@zhy0216
在 DNS 泄露检测服务中，通过创建专门的测试域名和设置这些测试域名的 NS 记录(指明哪些 DNS 服务器是负责处理特定域名的查询)指向检测服务控制的 DNS 服务器，检测服务可以追踪所有对这个子域名的查询。当设备尝试解析这些测试域名时，所有的 DNS 请求将被发送到有检测服务的服务器，允许服务检测是否有任何非预期的 DNS 服务器在处理这些查询。

补充下，我使用 clash verge rev ，mihomo 内核，windows11 系统，不用系统代理而是开启 tun 模式，哪怕我的 nameserver 和 fallback 都是加密 dns ，不论是使用规则还是全局都会泄露。也就是绕过了 clash ，直接让操作系统里设置的 dns 向测试域名发送解析请求。

我猜测可能是内核 tun 和 windows11 的适配有关，因为在另一台 windows10 电脑上就不会有泄露。

@lxcopenwrt 第一次听说 mosdns ，有空去看看

@jqtmviyu ipcidr 和 fake-ip-filter 还可以继续完善补充，但这样的设置对普通人上网来说已经可以了。

@xwhxbg #33 遵循系统代理的软件把 dns 请求发到了 clash 上，这个过程确实没有“代理”dns

@icy37785 如果不忍心看着我们被带偏，那就好心给我们科普一下，为什么应对 dns 泄漏没有任何意义。怎么界定互联网民科，为什么互联网民科不是做无用功就是反方向做功？你有什么好的上网隐私保护建议？

@xwhxbg 据我所知，clash 内置的 dns 模块本身就会劫持和处理 dns 请求，然后再决定是否本机发出解析请求还是让远程代理服务器解析。
和 clash 是否使用的是 http 还是 socks5 代理没有关系，这应该是两个不同的部分。

@Blankspacee 并不认识

@xwhxbg 我这里说的就是系统代理，没有涉及 tun 模式

@vx007 #16 确实是这样，但是对于绝大部分的普通人来说，他们的需求只是尽量降低隐私泄露，用最小代价实现最大的隐私保护，本质上是效能问题。