sing-box DNS解析失败问题分析与解决方案

问题背景

在使用sing-box作为网络工具时，用户配置了阿里云DNS(DoT)作为DNS服务器，但出现了DNS解析失败的情况，错误提示为"i/o timeout"。这个问题特别发生在使用域名(dns.alidns.com)而非IP地址(223.5.5.5)配置DoT服务器时。

技术分析

问题根源

1. DNS解析循环依赖：当配置DoT服务器使用域名而非IP地址时，sing-box需要先解析这个域名才能建立TLS连接。但此时DNS解析又依赖于这个尚未建立的DoT连接，形成了循环依赖。

2. 配置参数冲突：用户配置中同时使用了"detour"和"domain_resolver"参数，在sing-box 1.12版本中，这两个参数存在优先级冲突。当指定了"detour"参数时，"domain_resolver"参数会被忽略。

3. 默认行为变化：sing-box 1.12版本对DNS解析的默认行为有所改变，不再需要显式指定"detour"参数，因为默认就会使用直连方式。

解决方案

1. 简化配置：移除不必要的"detour"参数，让sing-box使用默认的直连方式。

2. 确保域名解析器可用：保留"domain_resolver"参数，确保它指向一个可用的UDP DNS服务器(如223.5.5.5:53)，用于初始的域名解析。

3. 完整配置示例：

{
  "type": "tls",
  "tag": "dns_direct",
  "domain_resolver": "dns_resolver",
  "server": "dns.alidns.com",
  "server_port": 853
}

深入理解

DNS over TLS(DoT)工作原理

DoT是一种通过TLS加密的DNS查询方式，工作在853端口。与传统的UDP DNS(53端口)相比，它提供了更好的隐私保护和安全性。

sing-box的DNS处理流程

1. 当配置DoT服务器使用域名时，sing-box首先需要使用"domain_resolver"指定的DNS服务器解析该域名。
2. 获取到IP地址后，才能建立TLS连接进行后续的DNS查询。
3. 如果"domain_resolver"不可用或被忽略，就会导致初始解析失败，进而无法建立TLS连接。

最佳实践建议

1. 优先使用IP地址：对于DoT/DoH服务器，尽可能直接使用IP地址配置，避免初始解析的依赖问题。

2. 备用解析器配置：如果必须使用域名，确保"domain_resolver"指向一个可靠且快速的DNS服务器。

3. 版本兼容性：注意不同sing-box版本对参数处理的差异，特别是默认行为的改变。

4. 日志监控：定期检查sing-box日志，及时发现并解决DNS解析问题。

通过以上分析和解决方案，用户可以避免DNS解析失败的问题，确保网络连接的稳定性和安全性。