DNS 污染典型表现:国外站点解析到异常 IP、间歇性超时、解析极慢,或 IPv6 优先导致访问卡顿。
1. 推荐 DNS 配置模板
dns:
enable: true
enhanced-mode: fake-ip # 推荐 fake-ip 抗污染
fake-ip-range: 198.18.0.1/16 # RFC2544 保留段
fake-ip-filter: # 避免破坏内网/时间同步
- '*.lan'
- '*.local'
- time.*
- '*.ntp.org'
nameserver: # 主查询:本地/低延迟
- 223.5.5.5
- 119.29.29.29
- 1.1.1.1
fallback: # 仅在结果疑似被污染时触发
- tls://1.1.1.1:853
- tls://8.8.8.8:853
- https://dns.google/dns-query
fallback-filter:
geoip: true
geoip-code: CN
ipcidr:
- 240.0.0.0/4 # 过滤异常保留段
domain:
- +.facebook.com
- +.twitter.com
2. fake-ip vs redir-host
| 模式 | 优点 | 缺点 | 适用 |
|---|---|---|---|
| fake-ip | 统一缓存、抗污染、提高命中率 | 个别反查依赖真实 IP 的程序需适配 | 绝大多数用户 |
| redir-host | 返回真实 A/AAAA 记录 | 更易被污染,缓存分散 | 特殊调试 / 需要真实地址 |
3. 常见现象与处理
| 现象 | 可能原因 | 处理 |
|---|---|---|
| 解析极慢 | fallback 过多或串行等待 | 保留 2~3 个优质 DoH/DOT |
| 国内站点走代理 | GEOIP 判断失败或规则顺序不当 | 前置 GEOIP,CN,DIRECT;参考 分流规则 |
| 某域名异常 fake-ip | 程序必须真实 IP | 加入 fake-ip-filter 白名单 |
| IPv6 站点加载慢 | 系统 AAAA 优先但链路差 | 暂关系统 IPv6 或加入优质 IPv6 解析源 |
| 日志大量 fallback | 结果被判污染/过滤条件过严 | 检查 geoip-code 与 ipcidr 判定 |
4. 与 TUN 配合
启用 TUN 模式 后,出站 DNS 会被统一劫持到 Clash,避免系统直连泄露。若同时运行其它本地 DNS 服务,需错开端口(如 Clash 7874,自建 53),路由器再指向 53。
5. 验证命令
nslookup youtube.com 127.0.0.1
dig www.google.com @127.0.0.1
dig www.google.com @127.0.0.1 +tcp
对比系统直连与 fake-ip 模式差异;若直连结果落在保留/异常 IP(如 203.* 可疑劫持)即为污染。
6. 优化建议
- fallback 不宜太多(≤3),减少并发链路
- 统一使用加密协议 (DoH/DOT) 抗干扰
- 高频业务域可通过规则固定策略减少重复查询