## Mihomo 与 SingBox 代理故障时 Real-IP 解析漏洞：小众域名与直连网站面临断网风险
当代理节点不稳定或完全失效时，依赖 Real-IP 解析策略的 Mihomo 和 SingBox 内核暴露出一个关键漏洞：部分不在 `geosite:cn` 列表中的国内小众域名，以及一些本应直连的国外网站，将因 DNS 解析失败而无法访问。问题根源在于，即便用户将分流模式设置为“规则模式走 Direct”或“Direct 模式”，DNS 查询请求依然会遵循预设的 DNS 规则，而非直接使用直连 DNS。一旦配置的国外 DNS 服务器因代理故障而无法响应，整个解析链条就会中断，导致上述网站“隐形断网”。

以 Mihomo 内核为例，其设计逻辑存在两处关键风险点。在常见的防 DNS 泄露配置下（国内域名用国内 DNS，其余使用 EDNS+国外 DNS），只要国外 DNS 无法连通，所有非国内域名的解析都会卡死。即使用户设置了 `direct-nameserver` 作为备选，请求也必须先通过“国外 DNS”这一关，失败则无法进入分流判定。另一种配置（仅 `geosite:gfw` 域名走国外 DNS）情况稍好，但代价是 `geosite:gfw` 列表内的域名在代理挂掉时将完全无法解析，并伴随 DNS 泄露风险。

相比之下，SingBox 内核因允许用户手动精细配置 Direct 模式下的 DNS 逻辑，对上述问题的抵御能力更强，但配置复杂度极高。分析指出，采用 Fake-IP 模式则可从根本上规避此风险：它直接向客户端返回一个虚假 IP，使流量强制进入分流层面进行判定，无需等待真实 DNS 解析结果，从而确保了在代理异常时基础连通性不依赖于远端 DNS 的可用性。这引发了核心讨论：是否存在一种机制，能在 Real-IP 模式解析超时时，自动切换至 Fake-IP 逻辑或启用一个专用于此场景的 Fallback，以平衡安全性与可用性。
---
- **Source**: V2EX
- **Sector**: The Lab
- **Tags**: DNS, 代理, 网络安全, Mihomo, SingBox
- **Credibility**: unverified
- **Published**: 2026-04-05 14:59:09
- **ID**: 50611
- **URL**: https://whisperx.ai/en/intel/50611