clash 开启 tun 之后 nslookup 是怎么运作的呢？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

DNS 参考资料

List of DNS Record Types

dig 使用说明

djbdns

DNS Parameters

dnslib for Python

这是一个创建于 1379 天前的主题，其中的信息可能已经有所发展或是发生改变。

nslookup 的结果

浏览器访问 duckduckgo.com 的结果图片.png

下面是我的 clash 配置

tun: enable: true stack: gvisor #dns-listen: 1.0.0.1:53 dns-hijack: - 1.0.0.1:53 # auto-route: true # auto set global route dns: enable: true default-nameserver: - 114.114.114.114 - 8.8.8.8 enhanced-mode: fake-ip fake-ip-range: 198.18.0.1/16 # Fake IP addresses pool CIDR nameserver: - 114.114.114.114 # default value - 8.8.8.8 # default value - tls://dns.rubyfish.cn:853 # DNS over TLS - https://1.1.1.1/dns-query # DNS over HTTPS fallback: - tcp://1.1.1.1

这其中具体过程是什么样的呢，希望 v 站大佬指点一下

12 条回复 2025-09-12 16:21:18 +08:00

neteroster

2022-03-17 18:20:39 +08:00 via Android

fake-ip 就是，发起连接时，你的 DNS 请求会被 clash 截获然后给你返回个假的 ip ，clash 会在内部记录这个 ip 和请求域名的对应关系。然后应用向这个假的 ip 发送请求的时候，请求会被 clash 截获，clash 通过反查表得到请求域名，然后（如果判定要走代理）把域名封装到某种其他协议然后往代理服务器发送，由代理服务器解析 DNS 。可以一定程度上避免 DNS 污染的影响。

TravisMtg

2022-03-17 18:28:16 +08:00

@neteroster 谢谢！

chengouzi

2022-03-17 18:39:58 +08:00

@neteroster fake-ip 只能使用域名判断是否走代理是么

neteroster

2022-03-17 18:43:34 +08:00 via Android

@chengouzi 也可以使用 IP ，所以 clash 其实还是会在本地解析一次（但是这个解析仅仅用做规则匹配），如果结果被污染，误判国内就会无法访问。所以说「一定程度上」缓解 DNS 污染。

sprite82

2022-03-17 19:03:07 +08:00

https://github.com/Dreamacro/clash/wiki/configuration#fake-ip

`enhanced-mode: redir-host # or fake-ip`

aragakiyuii

2022-03-17 22:51:29 +08:00 via iPhone

https://tachyondevel.medium.com/%E6%BC%AB%E8%B0%88%E5%90%84%E7%A7%8D%E9%BB%91%E7%A7%91%E6%8A%80%E5%BC%8F-dns-%E6%8A%80%E6%9C%AF%E5%9C%A8%E4%BB%A3%E7%90%86%E7%8E%AF%E5%A2%83%E4%B8%AD%E7%9A%84%E5%BA%94%E7%94%A8-62c50e58cbd0

shawndev

2022-03-17 23:47:14 +08:00

Surge 作者博客有介绍过实现方式，1 楼把实现原理介绍了，实际开发时还可能存在 DNS Cache 及时性（关闭代理之后）和最大容量的问题。https://blankwonder.medium.com/surge-%E5%8E%9F%E7%90%86%E4%B8%8E%E5%AE%9E%E7%8E%B0-8aa3304fb3bb