Xray如何从入站IP中嗅探出域名？sniffing的原理是什么？

[Benjamin1919]

引用一段官方配置文档( https://xtls.github.io/config/inbound.html#inboundobject )对于sniffing的解释:

流量探测主要作用于在透明代理等用途. 比如一个典型流程如下:

如有一个设备上网,去访问 abc.com,首先设备通过 DNS 查询得到 abc.com 的 IP 是 1.2.3.4,然后设备会向 1.2.3.4 去发起连接.
如果不设置嗅探,Xray 收到的连接请求是 1.2.3.4,并不能用于域名规则的路由分流.
当设置了 sniffing 中的 enable 为 true,Xray 处理此连接的流量时,会从流量的数据中,嗅探出域名,即 abc.com
Xray 会把 1.2.3.4 重置为 abc.com.路由就可以根据域名去进行路由的域名规则的分流
因为变成了一个向 abc.com 请求的连接, 就可以做更多的事情, 除了路由域名规则分流, 还能重新做 DNS 解析等其他工作.

当设置了 sniffing 中的 enable 为 true, 还能嗅探出 bittorrent 类型的流量, 然后可以在路由中配置"protocol"项来设置规则处理 BT 流量, 比如服务端用来拦截 BT 流量, 或客户端固定转发 BT 流量到某个 VPS 去等.

问题来了：
【1】xray如何从入站IP中嗅探出域名？是通过内置DNS服务器进行反向解析吗？
【2】对于一个IP对应多个域名的情况(比如某些CDN的IP)，xray如何处理返回的多个域名？是随机选取一个，还是把所有域名都跟路由规则匹配一遍？
【3】如果不开启sniffing，路由模块中的域名分流规则不再生效，但是IP分流规则依然可以正常匹配，是否正确？
【4】如果能保证进入xray之前所有域名都解析到了正确的IP，而且路由中的IP分流规则也写得很完善，那么此时应该不开启sniffing，减少一次解析，改善延时，是否正确？

[chise0713]

1. http header中的host字段，tls/quic握手中的sni字段，fakedns中的反向解析
2. 不会出现你说的这个问题，因为反向解析不会在除fakedns外的情况下使用。
3. 不开sniffing的情况下，假设传入的连接就是域名（socks/http/前置fakeip），域名规则依旧生效，IP分流始终生效
4. 减少解析可以使用 sniffing.routeOnly 字段，它不会将被解析为IP的连接重置为域名

[chise0713]

😂又想起来一个问题，在打开 routeOnly 的情况下，即便路由策略是AsIs，还会用原IP去匹配IP分流规则吗？

是的，假设没开routeOnly并且策略设为AsIs，那么没匹配到任何路由，会从默认出站发出。

[Benjamin1919]

同时开启sniffing和routeOnly，入站IP被嗅探出域名，即便域名找不到可匹配的域名分流规则，xray还是会用原入站IP尝试去匹配IP分流规则，如果IP分流规则匹配成功就按照指定的出站发出，如果都匹配不成功就从默认出站发出。以上行为不受路由策略的影响。

这样说对吧？

[chise0713]

同时开启sniffing和routeOnly，入站IP被嗅探出域名，即便域名找不到可匹配的域名分流规则，xray还是会用原入站IP尝试去匹配IP分流规则，如果IP分流规则匹配成功就按照指定的出站发出，如果都匹配不成功就从默认出站发出。以上行为不受路由策略的影响。

这样说对吧？

对

[haodayizhia]

哥你说的太好了，问个问题:如果我开了嗅探，访问国内的网站，从入站ip嗅探到域名后把ip重置为域名，岂不是又要重复一遍解析dns？

[Benjamin1919]

哥你说的太好了，问个问题:如果我开了嗅探，访问国内的网站，从入站ip嗅探到域名后把ip重置为域名，岂不是又要重复一遍解析dns？

开启RouteOnly就不会二次解析了