源IP隐藏和DNS泄露问题

和佬友们讨论使用代理时源ip隐藏的问题。
无论是使用clash还是v2的tun模式,访问国内域名记录到的源ip都是本机的出口ip,访问国外dns平台可以记录到源主机ip为代理ip。
上网了解了一下,大概率是DNS泄露问题,是代理策略根据访问的域名属于国外还是国内进行代理,所以访问国内的地址时,国内地址服务器记录到的源ip就是本机ip而非源ip。
有没有佬友指条路或者该往哪个方向学习一下,想做到访问任何域名或者ip都能做到隐藏主机ip。
附上图,从IP/DNS Detect - What is your IP, what is your DNS, what informations you send to websites.

4 个赞

佬友们开代理也可以用一下上面测试的地址观察DNS是否泄露,测试时间有点慢,稍等几秒钟应该就出来结果了

1 个赞

还有一个很有意思的现象,tun模式是工作在传输/网络层的,从里面创建虚拟网络设备接受流量并交给代理软件进行转发处理,所以从国内ip查询网站,查到的ip是代理地址,但是访问国内域名,实际上还是源IP地址。

1 个赞

DNS泄露要用浏览器WebRTC插件

如果说使用浏览器插件,那其他软件呢?比如一些工具、脚本,我尝试了在工具和脚本里配置socks代理,但是也是无果。所以我觉得是不是要从DNS协议或者从整个DNS配置解决呢 :sob:

不懂就问 什么是源ip 什么是出口ip 什么是本机ip

源ip就是本机ip,出口ip就是你的电脑互联网出口ip地址


为什么网址打开是这样的

这是是分流问题啦
很好解决的

策略:

  1. 所有IP规则加上no-resolve
    国内域名走直连分流规则
    所有国外网站走代理(包括兜底规则)

解析dns的dns可以用运营商或者阿里、腾讯
默认dns设置为自建或海外公共doh
其他的没匹配到会走远端解析

  1. 或者开全局代理全部走远端解析 (不会产生本地 DNS 查询)

防止网站看到你真实ip
更重要的是配置好WebRTC (如果代理节点不支持udp,又启用了WebRTC功能,然后就暴露源IP了)

以及做好指纹混淆

1 个赞

浏览器直接输入:

老哥说的是在clash或者v2代理的规则里都写上分流吧。
“国内域名走直连分流规则”,这句话的意思是,如果写了分流,当我访问国内某个域名时,代理服务器就会直连国内域名(解析也是在代理服务器内解析),然后将结果返回给我源主机,这样就跳过了在我本主机进行DNS解析的步骤。
是这个意思不

本地有规则列表,

访问的域名如果命中规则匹配

将通过代理服务器解析域名(没有本地dns请求)

如果没匹配到(直连规则或基于ip规则)

则使用代理软件的dns解析(本地dns请求)

1 个赞

关闭网卡 ipv6
把系统 dns 设置成一个无效 ip,比如 1.0.2.0
使用 tun 模式,配置好 dns 分流

注意到了clash和v2上的全局,试了一下,还是不行,这是不是也是一条思路。
(马上就试试楼上两位佬友的方法)

没这问题,难道是CF节点的原因?

应该不是,我用的clashN,走系统代理+全局,或者tun+全局,无论是自建节点还是公益节点都不行。

singbox似乎都直接没有这种问题,clash的话得单独配置下

解决啦佬友们,搞了半天,是软件的内核问题 :sob:



抽象至极

系统代理貌似没问题,可能分流规则的原因