全球主机交流论坛

标题: 一个Clash的DNS泄露的bug [打印本页]

作者: 他回精神病院了 时间: 2024-6-8 14:12
标题: 一个Clash的DNS泄露的bug
本帖最后由他回精神病院了于 2024-6-8 18:59 编辑

理论上，在fakeip模式下，只要配置合理（在匹配到对应规则之前，前面的规则不会导致产生DNS解析请求），只有直连的请求才会在本地解析DNS，所有通过服务器的以及被拦截的请求不会在本地产生DNS解析请求记录。
clash在处理UDP请求时，会尝试寻找已经存在的socket进行复用，这个时候会对所有域名在本地查DNS缓存，缓存里没有的会进行DNS解析，导致了DNS泄露。
Chrome等浏览器，默认会尝试使用QUIC。第一次请求的时候本地的缓存里是查不到这个记录的，所以会在本地发起DNS解析的请求，导致浏览器查看的网址DNS泄露。

具体导致泄露的代码在tunnel.go里的handleUDPConn函数里的"local resolve UDP dns"部分，具体代码如下（以clash开源版代码为准）：

```golang
// local resolve UDP dns
if !metadata.Resolved() {
ips, err := resolver.LookupIP(context.Background(), metadata.Host)
if err != nil {
packet.Drop()
return
} else if len(ips) == 0 {
packet.Drop()
return
}
metadata.DstIP = ips[0]
}
```

复制代码

这段代码在最开始的地方，在分流代码之前，所以会对所有请求进行DNS解析（包括通过服务器连接的、被拦截的）。

检查了一下Clash.Meta的代码，相同的代码也存在，所以Clash.Meta也有相同的问题。根据作者的提交记录（见下面），代码是从premium版本同步过来的，所以盲猜premium版本也有此问题。

```git log
commit 3946d771e52fb72dfc91543dda8c785597622a9b
Author: Dreamacro <[email protected]>
Date: Sat Aug 13 13:07:35 2022 +0800
Feature: sync missing resolver logic from premium, but still net.IP on opensource
diff --git a/tunnel/tunnel.go b/tunnel/tunnel.go
--- a/tunnel/tunnel.go
+++ b/tunnel/tunnel.go
@@ -183,1 +183,1 @@
- ip, err := resolver.ResolveIP(metadata.Host)
+ ips, err := resolver.LookupIP(context.Background(), metadata.Host)
```

复制代码

解决方法（二选一）：
第一种：在resolver中增加一个只查本地DNS缓存，不进行网络请求的查询函数来替换这里的resolver.LookupIP。由于clash已经删库了，所以只能自己进行。
第二种：没有能力自己改代码的mjj，可以在DNS的fallback-filter里指定敏感的网址只走国外的特定服务器（必须是加密的，不然也没用），这样就算本地多一次无用DNS查询，也不会导致DNS泄露给国内的DNS服务器。
第二种方法的缺点就是依然会多一次DNS请求，并且要持续维护这个列表。

P.S.我下午尝试用第一种方法修复了一下，添加只查询本地DNS缓存的方法以后依然要修改其他几个地方。
1、如果你在使用VMess协议的话，vmess.go中的ListenPacketContext函数依然会在分流前发起DNS请求，这里的代码需要处理（注销掉DNS查询代码，后续修改见后面）。
2、tunnel/connection.go函数中的handleUDPToRemote需要使用DNS解析出来的IP地址，这里要改成也可以使用域名。如果这里要可以使用域名，constant/adapters.go中的接口PacketConn需要增加支持新的传递UDP包的函数（之前复用的net.PacketConn包中的WriteTo，所以只能传递IP地址）。
3、WriteTo函数接口修改以后，需要修改所有出站协议的WriteTo实现。

作者: 月亮 时间: 2024-6-8 14:14
好帖，这才是loc该有的样子

作者: hcyme 时间: 2024-6-8 14:16
无所谓，只要油管保证十万以上，爱谁谁

作者: 他回精神病院了 时间: 2024-6-8 14:17

hcyme 发表于 2024-6-8 14:16
无所谓，只要油管保证十万以上，爱谁谁

见到一千元的罚款单和保证书以后就有所谓了

作者: server0608 时间: 2024-6-8 15:12
我是设置dns为adg，然后adg分流，只要国外的网站就走国外doh查询

作者: 在7楼 时间: 2024-6-8 15:18

他回精神病院了发表于 2024-6-8 14:17
见到一千元的罚款单和保证书以后就有所谓了

感谢分享。

但六扇门要是根据DNS泄露来请喝茶，那他们整天啥事都不用做了，14亿人得有一半得去一趟。。。

BTW，真在意的话，直接把浏览器里的quic关掉更简单：chrome://flags/#enable-quic

作者: 19cm 时间: 2024-6-8 15:39

server0608 发表于 2024-6-8 15:12
我是设置dns为adg，然后adg分流，只要国外的网站就走国外doh查询

怎么操作？有教程吗

作者: 他回精神病院了 时间: 2024-6-8 16:04

在7楼发表于 2024-6-8 15:18
感谢分享。

但六扇门要是根据DNS泄露来请喝茶，那他们整天啥事都不用做了，14亿人得有一半得去一趟。。 ...

这个不错，之前没发现QUIC可以关掉

作者: 赵博士 时间: 2024-6-8 16:07
Clash的DNS泄露是指在使用Clash的情况下，部分DNS请求没有通过代理服务器进行解析，导致您的真实IP地址或DNS服务器信息可能被泄露。
解决Clash DNS泄露的一般方法如下：
* 使用加密DNS
使用加密DNS可以防止您的DNS请求被监听和窃取。Clash支持多种加密DNS协议，例如DoH、DoT和DNSCrypt。您可以根据自己的需要选择合适的加密DNS协议和服务器。
* 使用no-resolve规则
no-resolve规则可以阻止Clash解析特定域名的DNS请求。您可以将需要通过直连方式访问的域名添加到no-resolve规则中，以防止这些域名的DNS请求泄露。
* 使用fallback-filter规则
fallback-filter规则可以指定Clash在无法通过代理服务器解析域名时使用的DNS服务器。您可以将您的本地DNS服务器或其他可信任的DNS服务器添加到fallback-filter规则中。
以下是一些具体的配置示例：
* 使用DoH加密DNS
rules:
  - DOMAIN-SUFFIX .example.com, .example.net DOH [email protected]

* 使用no-resolve规则
rules:
  - DOMAIN-KEYWORD google.com, FB.com no-resolve

* 使用fallback-filter规则
fallback-filter:
  geosite: !geosite
  name: local_dns
  server:
- 192.168.1.1
- 8.8.8.8

请注意，这些只是一些示例配置，您需要根据自己的实际情况进行调整。有关Clash DNS泄露的更多信息，请参阅Clash官方文档：https://github.com/vernesong/OpenClash/issues/1682

作者: dole 时间: 2024-6-8 16:15
土著MJJ表示不用小猫咪

作者: 他回精神病院了 时间: 2024-6-8 19:08

赵博士发表于 2024-6-8 16:07
Clash的DNS泄露是指在使用Clash的情况下，部分DNS请求没有通过代理服务器进行解析，导致您的真实IP地址或DN ...

如果使用第二种方法规避这个问题的话，开源版的clash要在fallback-filter中一个个添加域名维护的话比较麻烦，推荐使用Clash.Meta，直接用geosite，可以减少维护量。

作者: corporation 时间: 2024-6-8 19:18
好贴，感觉这个影响会很大，加上删库，能看到这贴的只是少数，有没从上游修复的办法？

作者: BigBug 时间: 2024-6-8 21:26
不明觉厉

作者: server0608 时间: 2024-6-8 21:45

19cm 发表于 2024-6-8 15:39
怎么操作？有教程吗

直接搜AdGuardHome文件分流

作者: 草根傻逼 时间: 2024-6-8 22:15
草根儿傻逼曹鑫无所畏惧

作者: 李某某 时间: 2024-6-8 22:50
赞一个

作者: 李少龙你妈死了 时间: 2024-6-8 23:02
等待官方修复谢谢大佬

作者: lio525 时间: 2024-6-8 23:13
强!

作者: 甘油 时间: 2024-6-9 00:40
换singbox吧，确实更好点。

作者: perfuse 时间: 2024-6-9 01:32
仅fakeIP模式下存在吗

作者: 他回精神病院了 时间: 2024-6-9 10:38

perfuse 发表于 2024-6-9 01:32
仅fakeIP模式下存在吗

其他模式在clash收到浏览器发来的DNS查询请求的时候就直接在本地发起DNS查询了，所有DNS都是泄露的，所以只讨论fakeip模式。fakeip模式才有可能保证不泄露。

作者: perfuse 时间: 2024-6-9 10:42

他回精神病院了发表于 2024-6-9 10:38
其他模式在clash收到浏览器发来的DNS查询请求的时候就直接在本地发起DNS查询了，所有DNS都是泄露的，所以 ...

singbox呢，为什么不把DNS通过节点发送？原理上做不到？不理解

作者: Susanoo 时间: 2024-6-9 11:43
在 debug log 里没看到走科学的 dns 请求，这个dns会被 log 吗

作者: 他回精神病院了 时间: 2024-6-9 22:49

perfuse 发表于 2024-6-9 10:42
singbox呢，为什么不把DNS通过节点发送？原理上做不到？不理解

singbox不了解，没用过。原理上能做到，所以说是个bug。

作者: 他回精神病院了 时间: 2024-6-9 22:50

Susanoo 发表于 2024-6-9 11:43
在 debug log 里没看到走科学的 dns 请求，这个dns会被 log 吗

这里没有打log，所以log里看不到，你自建一个DNS服务器，让clash走你自建的服务器就看到了。

作者: 在7楼 时间: 2024-6-16 09:32
本帖最后由在7楼于 2024-6-16 09:34 编辑

对了，方法二看起来是解决不了的，因为fallback和nameserver是并发查询的，不是先后：https://wiki.metacubex.one/config/dns/diagram/

所以用fallback只能保证拿到的ip是不受污染的，不能防泄露，nameserver还是发起请求了。

今天整理自己的calsh配置文件时突然发现的。这个fallback坑有点多，能不用还是尽量别用了。

也许可以改成用nameserver-policy

作者: suichang 时间: 2024-6-16 09:35
dns远程解析，本地再根据ip分流不好用？
fakeip有啥优势？

作者: 他回精神病院了 时间: 2024-6-20 12:48

在7楼发表于 2024-6-16 09:32
对了，方法二看起来是解决不了的，因为fallback和nameserver是并发查询的，不是先后：https://wiki.metacub ...

fallback-filter里设置的域名只查fallback的服务器的，不会查nameserver里设置的服务器。

作者: 他回精神病院了 时间: 2024-6-20 12:57

suichang 发表于 2024-6-16 09:35
dns远程解析，本地再根据ip分流不好用？
fakeip有啥优势？

全部通过境外DNS服务器远程解析的话主要问题是：
1、国内网站访问速度慢
2、国内的网站可能解析到国外的镜像站IP，导致一些异常
3、国外的大网站也有不同的接入点，DNS服务器和代理服务器不同会导致访问慢或者异常。

fakeIP的优势就是在收到浏览器等客户端发来的DNS解析请求的时候不需要真正的去解析，直接返回一个假的IP，只有本地直接访问的网站才在请求的时候发起DNS解析。通过代理服务器访问的网站本地不会进行真正的DNS解析请求，代理服务器上才进行真正的解析。

作者: sslsmh 时间: 2024-6-20 14:33
Clash 还有别的BUG。。。白女票两年了。。。

作者: kezhao 时间: 2024-6-20 14:38
学习了。好帖啊

欢迎光临全球主机交流论坛 (https://443502.xyz/)