Xray-core 中的 DNS over HTTPS (DoH) 增强功能解析

在 Xray-core 项目中，近期针对 DNS over HTTPS (DoH) 功能进行了一系列重要的增强改进。这些改进主要聚焦于提升 DoH 在特殊网络环境下的可用性和安全性，特别是针对存在网络限制的地区。

DoH 的 SNI 伪装技术

一个关键的技术改进是实现了 SNI (Server Name Indication) 伪装功能。SNI 是 TLS 握手过程中的一个重要扩展字段，用于指示客户端想要连接的主机名。在某些网络环境中，网络系统会通过 SNI 字段来识别和限制 DoH 流量。

Xray-core 现在允许用户为 DoH 连接设置一个"伪装 SNI"(fakeSNI)值。这个功能使得：

• 实际的 DoH 查询仍然发送到目标服务器
• 但在 TLS 握手阶段显示的 SNI 字段可以是另一个不同的域名
• 这有效规避了基于 SNI 的流量识别和限制

浏览器指纹模拟

另一个重要改进是集成了 uTLS 库来模拟 Chrome 浏览器的 TLS 指纹。TLS 指纹是网络流量识别的重要特征之一，通过模拟常见浏览器的指纹特征，可以使得 DoH 流量更加难以被识别和限制。

这项技术实现的关键点包括：

• 完整模拟 Chrome 浏览器的 TLS 握手特征
• 包括密码套件、扩展字段等细节的精确重现
• 保持与真实浏览器行为的高度一致性

安全验证机制

在实现 SNI 伪装的同时，项目团队也考虑了相关的安全验证问题。当前的实现方式是：

• 仍然使用原始 URL 中的主机名进行证书验证
• 确保即使 SNI 被伪装，基础的安全验证仍然有效
• 防止中间人攻击等安全威胁

技术实现细节

在代码层面，这些改进主要涉及：

• 重构 DoH 客户端的 TLS 配置处理
• 集成 uTLS 库的功能
• 优化 HTTP/2 连接的处理逻辑
• 确保向后兼容性

这些改进使得 Xray-core 的 DoH 功能在保持原有易用性的同时，显著提升了在受限网络环境中的可靠性和隐私性。对于需要规避网络限制的用户来说，这些增强功能提供了更强大的工具选择。