## Mihomo 与 SingBox 代理故障时 Real-IP 解析漏洞：小众域名与直连网站面临断网风险
当代理节点不稳定或完全失效时，Mihomo 和 SingBox 内核中依赖 Real-IP 的 DNS 解析机制暴露出一个关键缺陷。这导致部分不在 `geosite:cn` 列表中的国内小众域名，以及一些本应可以直连的国外网站，在代理挂掉后完全无法解析，造成意外的网络中断。问题的核心在于，即便用户将分流模式设置为“规则模式走 Direct”或“Direct 模式”，DNS 查询依然受制于预设的 DNS 规则，而非直接使用直连通道。

以 Mihomo 内核为例，其工作逻辑存在两个主要风险场景。在第一种常见配置下，为防止 DNS 泄露，用户会为除国内域名外的所有查询设置 EDNS 并使用国外 DNS 服务器。一旦代理节点故障，国外 DNS 无法访问，所有非国内域名的解析请求便会卡死，即使配置了 `direct-nameserver` 也无济于事。第二种配置将所有 `geosite:gfw` 域名交由国外 DNS 解析，其余使用国内 DNS。这种情况稍好，但代价是 `geosite:gfw` 列表内的域名在代理失效时将无法解析，并伴随 DNS 泄露风险。SingBox 内核存在相同问题，但其提供了更复杂的手动解析逻辑配置选项，为用户留下了有限的补救空间，尽管配置过程相当繁琐。

相比之下，Fake-IP 模式在此类故障场景下表现稳健。它直接向客户端返回虚假 IP 地址，将流量快速引导至分流层面进行处理，完全绕开了对 NameServer 可用性的依赖。这凸显了当前 Real-IP 方案在容错设计上的不足。技术社区正探讨一种可能的改进方向：能否在 DNS 解析超时或失败时，自动切换为发送 Fake-IP，从而直接进入分流决策流程？或者设计一种新的“回退”机制，以应对代理不可用时的解析困境。
---
- **Source**: V2EX
- **Sector**: The Lab
- **Tags**: DNS, 代理软件, 网络故障, 隐私泄露, 技术漏洞
- **Credibility**: unverified
- **Published**: 2026-04-05 11:59:11
- **ID**: 50528
- **URL**: https://whisperx.ai/zh/intel/50528