## Mihomo 与 SingBox 代理故障时 Real-IP 解析漏洞：小众域名与直连网站面临断网风险
当代理节点不稳定或完全失效时，依赖 Real-IP 解析策略的 Mihomo 和 SingBox 内核暴露出一个关键漏洞：即使客户端设置为直连模式，部分不在 `geosite:cn` 列表中的国内小众域名，以及一些本可直连的国外网站，其 DNS 查询也会完全失败，导致网络中断。问题的核心在于，无论分流规则如何设定为 Direct，DNS 解析流程仍严格遵循预设的 DNS 规则，而非直接回退到本地解析。

以 Mihomo 内核为例，其典型配置为防止 DNS 泄露，会为大部分非国内域名启用 EDNS 并强制使用国外 DNS 服务器进行查询。一旦代理节点挂掉，国外 DNS 通道随之失效，所有发往该通道的域名解析请求便会超时，即使为这些域名配置了 `direct-nameserver` 也无济于事。另一种配置是将 `geosite:gfw` 列表的域名走国外 DNS，其余走国内 DNS。此方案虽能缓解部分解析失败问题，但代价是 `geosite:gfw` 列表内的域名在代理故障时将无法解析，并伴随 DNS 泄露风险。SingBox 内核存在类似问题，但其提供了更复杂的手动解析逻辑配置选项，为用户留下了解决空间，尽管配置过程相当繁琐。

相比之下，Fake-IP 模式在此类故障场景下表现稳健。它直接向客户端返回一个虚假 IP 地址，将流量强制推送到分流层面进行处理，完全绕开了对国内外 DNS 服务器可用性的依赖。需要代理的域名会以域名形式直接发送给代理节点，而直连域名则由内核通过配置的 DNS 进行解析。这一对比凸显了当前 Real-IP 策略在容错性上的设计缺陷，也引发了社区对实现“解析超时自动切换至 Fake-IP”或建立更智能的 DNS 回退机制的探讨需求。
---
- **Source**: V2EX
- **Sector**: The Lab
- **Tags**: DNS, 代理软件, 网络故障, 隐私安全, 开源工具
- **Credibility**: unverified
- **Published**: 2026-04-05 13:59:09
- **ID**: 50589
- **URL**: https://whisperx.ai/en/intel/50589