是什么,为什么,怎么做? —— 谈谈 DNS 泄漏、CDN 访问优化与 Fake IP

深度解析Fake IP与Real IP:网络分流的最佳实践

2001 年 4 月 IETF 通过的 RFC 3089中描述的 Fake IP,是四层代理分流场景下性能相对最佳、体验相对最好、实现相对最简单的「最佳实践」。相比之下,Real IP模式为了接近其性能,需要付出大量的额外配置代价。

1. 拆解「DNS 泄漏」的迷思

在许多三层 VPN 提供商(如 ExpressVPN, NordVPN)及 KOL 的宣传下,「DNS 泄漏」被渲染成洪水猛兽。但要理解它,首先要理解 DNS 解析的参与者:

  1. 发起查询的用户

  2. 递归 DNS(Local DNS):如运营商 DNS、公共 DNS(1.1.1.1 等)。

  3. 权威 DNS(Authoritative DNS):最终决定域名指向的服务器。

DNS 泄漏的原理

「DNS 泄漏」本质上查询的是 递归 DNS 请求权威 DNS 时所使用的出口 IP

查询工具通过让用户请求完全随机的域名(绕开缓存),迫使递归 DNS 请求权威 DNS,从而记录下递归 DNS 的出口 IP。

为什么 DNS 泄漏不值得恐慌?

  1. 地理位置难以关联:Cloudflare 等公共 DNS 在全球有数百个 PoP 点,其出口 IP 无法精准对应用户实际位置。
  2. 无法作为风控因子:DNS 递归流程长、失败率相对高,且无法代表用户真实 IP,主流网站不会仅凭此标记「可疑用户」。

**真正值得关注的是:**域名的 DNS 查询,一定要通过实际使用的网络出口发送。

2. CDN 调度与 GeoDNS

CDN(内容传输网络)通过全球部署的节点将网站带到用户附近。其分配策略主要依赖 GeoDNS:权威 DNS 根据递归 DNS 的出口 IP,返回距离用户最近的节点。

  • 痛点:如果你用新加坡节点访问 Netflix,却分配了美国的 CDN 节点,体验将大幅下降。
  • 核心需求:为了保证 CDN 调度准确,不论 Fake IP 还是 Real IP 模式,都必须确保 DNS 查询走实际的网络出口。

3. Fake IP vs Real IP:实现原理对比

Fake IP 模式

  • 逻辑:DNS 解析责任从客户端转移到了代理服务器。
  • 流程
    1. 客户端拦截 DNS 请求,直接返回一个伪造的 IP(Fake IP)。
    2. 浏览器与 Fake IP 建立连接。
    3. 代理客户端反推出域名,将域名发往代理服务器。
    4. 代理服务器进行真正的 DNS 解析。
  • 优势:天然无视本地 DNS 污染,且 CDN 调度由远程服务器完成,自动优化。

Real IP 模式

  • 逻辑:所有 DNS 解析发生在本地。
  • 局限性
    1. 为了分流,客户端必须解析出 Real IP。
    2. 需要复杂的嗅探手段(HTTP Host / TLS SNI)来识别域名,且无法处理 ECH 加密。
    3. 需要手动配置大量的 DNS 转发规则,以确保不同地区的域名由对应的出口解析。

4. 关于 EDNS Client Subnet (ECS)

RFC 7871 定义了 ECS,允许递归 DNS 携带客户端子网信息,帮助权威 DNS 优化调度。

现状与挑战:

  • 兼容性极差:Cloudflare 等出于隐私拒绝支持;部分 CDN(如移动、某些国外节点)虽然兼容但不读取。
  • 安全风险:增加了 DoS 攻击和缓存投毒的风险(如 CVE-2025-5994)。
  • 配置繁琐:在 Real IP 模式下,你需要为每个网络出口手动分配对应的美国/英国等子网段。

5. 性能优势:Fake IP 「快」在哪里?

减少 DNS RTT

在理想的网络环境下(如上海到美西专线):

  • Fake IP:客户端立刻返回结果,总准备耗时约 58ms
  • Real IP:需要等待一个完整的远程 DNS 查询往返,总耗时约 170ms

[Image comparing Fake IP and Real IP latency workflow]

TCP 并发握手(Happy Eyeballs)

当 DNS 返回多个 IP 时,Fake IP 模式下的代理客户端可以同时向所有 IP 发送 TCP SYN。谁先响应就用谁,这能有效规避单个节点连接超时(可能长达 20-180s)导致的卡顿。这是 Real IP 模式难以透明实现的优化。

6. 配置建议与结论

结论

Fake IP 模式是目前的最佳实践。

配置清单

场景 Fake IP 模式 Real IP 模式
DNS 服务器 仅需配置国内 DNS 需同时配置国内和海外 DNS
解析行为 仅解析直连网站/代理服务器域名 解析所有网站
分流复杂度 简单,自动处理 极高,需配置 DNS 转发与分流
CDN 优化 服务器端自动优化 需手动配置 ECS 或多出口 DNS

简单来说:

  • Fake IP 用户:只需配置国内 DNS 即可享受最佳体验。
  • Real IP 用户:需手动管理复杂的 DNS 转发规则,否则会面临 DNS 污染或 CDN 调度劣化。