redir-host
传统的DNS转发模式,局域网根据规则查询DNS请求获取真实IP地址
fake-IP
伪造IP模式,内部DNS查询得到的是伪造IP段的某个地址,局域网使用伪IP与Clash通信,Clash会根据伪IP找到真实IP使用SOCKS代理进行通信。
安全DNS协议类型
- DoH(DNS over HTTPS): 一个进行安全化的域名解析方案。其意义在于以加密的HTTPS协议进行DNS解析请求,避免原始DNS协议中用户的DNS解析请求被窃听或者修改的问题(例如中间人攻击)来达到保护用户隐私的目的。Google及Mozilla基金会正在测试此协议,提高网络安全性。 支持DoH的公共DNS列表。
- DoT(DNS over TLS): 通过传输层安全协议(TLS)来加密并打包域名系统(DNS)的安全协议。此协议旨在防止中间人攻击与控制DNS数据以保护用户隐私。RFC 7858及RFC 8310定义了DNS over TLS。
- dns2socks: 这个不是协议,而是将DNS查询请求通过SOCKS代理做了个转发,如果SOCKS代理隧道是安全的,那么这个过程就相对安全一些。到了隧道的另一端(代理服务端)之后是否安全还是看代理服务端是否使用了DoH或DoT协议进行转发。