shellcrash 的 dns 泄漏该怎么解决？

再加上楼主访问的各种 DNS leak 测试网站实际上测试的是地理位置隐藏，网站自建权威 DNS 服务器，然后生成随机域名让你解析，请求到网站的权威 DNS 服务器后网站就可以知道是哪里的 ISP 在请求解析，这样就暴露了位置。但是我们的场景的目标是抗封锁而不是匿名性，所以 DNS 泄漏对翻墙这种场景下我一直认为是无关紧要的。

@People11 这个问题都要被讨论烂了，有人认为有问题，有人就是认为无所谓的。。
我们假设你访问了一个**超级敏感**的网站，但是却通过境内 dns 发起了一次查询，不管是明文的也好加密的也好（现在境内已经没有可用的境外加密 dns 了），此时当局完全有能力把你找出来的，况且此前泄露的文件也表明 gfw 是分布式部署的，泄露给运营商基本可以等同于泄露给 gfw 。
我个人觉得，既然可以通过客户端简单设置完全规避这个风险，那何乐而不为。
至于 fakeip ，这玩意制造的问题比解决问题还多

@Lightbright 规则默认走代理,那么之前那个美团 ip 定位他的域名就没在规则内,那么这就能把代理 ip 和你真人绑定了?如何规避这些 app 内置的黑盒追踪器?

ip.sy

@bavtoex #23 这种建议按照进程（ APP ）绕过整个国内软件

@Lightbright 所以我想表达的意思就是，楼主凭借那些 DNS Leak 网站去判断自己是否 DNS 泄漏是不合理的，人家是检测你的匿名性，而我们翻墙目标是隐私性。对于你提到的场景，泄漏不泄漏还是要看规则本身而不是什么 DNS Leak 网站。有可能楼主的 DNS 规则已经处理了所有被墙的网站，所以就没有处理那些没被墙的 DNS Leak 网站，导致直连 DNS 解析被检测到。

@Lightbright 假如机场的 DNS 配置已经是「所有被墙的/被污染的/危险的网站都走境外加密 DNS ，只有没被墙的/国内的/安全的网站走国内 DNS 」，那么假如某个 DNS Leak 网站属于后者，自然也就测出来泄漏了，但是这种泄漏对于翻墙本身的目标来说是无关紧要的。并且如果你坚持所有 DNS 请求都要走境外，那节点域名的解析怎么搞？你要走国内解析就又绕回到 GFW 知道你在翻墙的情况了。

@People11 所以代理规则直接走 gfw 黑名单模式再自定义一些额外规则就差不多了吗?

@bavtoex 我更喜欢 geosite 和 geoip ，再加上地区限定相关规则，因为一个境外网站就算没被墙，由于 CDN/服务器环大陆部署，速度也好不到哪去，不如到境外的请求一律走代理加速

@People11 #25
1.你不能把 dns 泄露的测试域名加到规则里然后说我不泄露了，这和某些手机针对跑分软件做优化有什么区别。
2.你无法列出所有的被墙网站，gfw 是黑箱，网上的 gfwlist 只能说覆盖了大部分。
3.我没有坚持所有 DNS 请求都要走境外，国内域名走境内并无不妥。
4.节点域名并不是什么特别高危的域名。

DNS 泄漏一两句话说不清楚，有一些误区
1. 并不是说泄漏了就一定有问题，一个合理的规则有一些泄漏是很正常的
2. 不是说用了 fake-ip 就不会泄漏，也不算说用了 fake-ip 泄漏了就有问题
3. 正常来说域名规则和 no-resolve 的 ip 规则靠前，resolve 的 ip 规则靠后，使用 fake-ip 模式，尽量把你不想泄漏 DNS 的域名规则补齐，这样就可以达成比较完美的状态。

@Lightbright 我同意你的观点，dns 泄露的测试域名加到规则里不等于不泄漏，但同样的，dns 测试网站说你泄漏了你也不是真的泄漏（特别是测试的目标就不同，翻墙泄不泄漏是要看规则的），所以我认为楼主这样测试后的担忧是杞人忧天，真正有可能导致问题的泄漏机场自己的规则基本都给你处理好了

@Lightbright 虽然 gfwlist 不是覆盖全部，但有个规则叫漏网之鱼，并且在流行的 acl4ssr （虽然很过时）里是默认走代理的，只要不是又菜又爱玩的小白把它调到直连那基本不会有什么问题

针在意这个就白名单好了，国内的域名白名单，走国内解析，没命中的全部走 Google DNS ，加上 ecs 基本上还是能得到一个比较近的结果

出问题的从来不是什么技术上的好坏
是人的行为

@july1995 部分禁止中国大陆访问的服务和网站会通过 DNS 泄露来检测来源是否来自大陆。

长城防火墙都弄了十几年了，还在掩耳盗铃。唉，真搞不错。真上个 e-sim 卡都让人哭笑不得