选择公共 DNS 解析器

# 选择公共 DNS 解析器 来源：https://evilbit.de/dns-resolver-guide.html 独立参考 根据您关注的重点（如隐私、恶意软件拦截、家长控制、速度、IPv6 或特定司法管辖区），本查找工具可从 29 个全球公共解析器中筛选出符合要求的。随后提供完整对比表格及基于研究的决策说明。 29 个公共解析器 16 个司法管辖区 DoH / DoT / DoQ 加密传输 12 项引用研究 步骤 1 · 交互式查找器## 根据需求寻找解析器 勾选您关注的方面。传输协议、DNSSEC、IPv6、司法管辖区和运营商类型为硬性筛选条件。优先级进行评分和排序。 ### 我的优先级 最高隐私保护且无日志记录最少或无查询日志记录，隐私优先的运营商拦截恶意软件和钓鱼攻击默认开启安全拦截列表或通过简单变体实现拦截广告和跟踪器全网广告及跟踪过滤家长控制与成人内容拦截提供家庭或成人内容过滤器无过滤（未经修改的 DNS）完全按发布内容返回结果完全可自定义过滤通过账户选择自己的拦截列表或规则顶级速度（全球任播）大型低延迟任播网络非商业运营商非营利、注册机构、社区或公共利益组织，非营利性公司 ### 必须支持加密 DNS DNS-over-HTTPS (DoH)DNS-over-TLS (DoT)DNS-over-QUIC (DoQ)DNSCrypt ### 其他要求 必须验证 DNSSEC必须提供 IPv6提供 IPv6 解析器地址运营商司法管辖区运营商类型 ## 推荐的解析器 步骤 2 · 完整对比## 全部 29 个全球公共解析器 点击列标题可排序。按名称、运营商、司法管辖区或功能搜索。过滤型变体地址（恶意软件、家庭、未过滤）列在"过滤"单元格中。 证据## 如何决策：研究结果表明 以下为经过同行评审的 DNS 测量研究得出的结论，应能指导上述权衡。 ### 速度：普通 DNS 延迟最低，但加密传输也能跟上 加密传输（DoH 和 DoT）每次查询会增加延迟，但完整页面加载时间通常接近普通 DNS，且实际中 DoH 的开销很小。在丢包率高或高延迟链路上，普通 Do53 仍然占优。不同提供商和地区性能也有差异，因此最快的解析器取决于您所在位置。 Hounsel 等，WWW 2020；Böttger 等，IMC 2019；Chhabra 等，IMC 2021。 ### 加密 DNS 不仅防止窥探，还能抵御篡改 规模最大的端到端加密 DNS 研究发现，与普通 DNS 相比，查询在传输中被拦截或篡改的可能性大大降低，且开销很小。不过运营商质量参差不齐：该研究中约 25% 的 DoT 提供商提供了无效的 TLS 证书，因此建议选择运营良好的提供商。 Lu 等，IMC 2019。 ### 加密隐藏了网络侧的查询内容，但解析器仍可看到 无论选择哪家提供商，它仍能看到您查询的所有域名。如果这令您担忧，请选择无日志记录的运营商，或采用 oblivious 设计（ODoH），由代理将您的身份与查询分离，使得任何一方都无法同时看到两者。Cloudflare 和 Apple 已部署 ODoH。 Schmitt, Edmundson & Feamster, PoPETS 2019; Singanamalla 等，2021。 ### DNSSEC 验证可防止伪造应答 只有具备验证功能的解析器才能保护您免受伪造记录的攻击。Google、Cloudflare 和 Quad9 均实施验证，并在首次根密钥（KSK）轮换中未对用户造成影响。如果您重视数据完整性，请将 DNSSEC 验证视为必要条件。 Müller 等，IMC 2019。 ### ECS 以速度换隐私 EDNS 客户端子网会将您 IP 的一部分发送给 CDN 以实现更好的地理路由。Google 和 OpenDNS 发送该信息以获得更精准的 CDN 映射；Cloudflare 和标准版 Quad9 则为了隐私而关闭此功能。请根据您的偏好进行选择。 "对 DNS 解析器 ECS 行为的研究"，IMC 2019。 ### 司法管辖区和集中化同样重要 运营商的注册地决定了其可能被强制要求记录或透露的内容，而少数几家企业目前承担了全球大部分的递归流量。美国 NSA 也曾警告，外部解析器会绕开内部 DNS 过滤和检查，因此需要权衡控制权与便利性。 Moura 等，IMC 2020；NSA 指南，2021。 ### DNS-over-QUIC 现已是最快的加密传输 2022 年对 DoQ 的测量发现，它在响应时间上已超越 DoT 和 DoH，尽管约 40% 的握手因 QUIC 的地址验证限制而变慢。如果您的客户端和解析器均支持 DoQ（Quad9、AdGuard、NextDNS、Control D、Mullvad、UncensoredDNS 以及本文中的中国主要服务商），则应优先选择 DoQ。 Kosek 等，PAM 2022。 ### DNSCrypt：最古老的加密选项，也最难测量 DNSCrypt 早于 DoH、DoT 和 DoQ（版本 2 发布于 2013 年）。它从第一个数据包开始就使用解析器的预共享公钥进行加密，因此没有明文的域名查询，也不依赖证书颁发机构；其匿名 DNS 模式（2019 年）还能隐藏客户端 IP。在本文的解析器中，Quad9、OpenDNS、AdGuard、NextDNS、Control D 和 Yandex 提供此功能。但可靠的使用数据很少：诸如APNIC Labs (https://stats.labs.apnic.net/edns) 等大规模测量只追踪 DoH 和 DoT 而不包括 DNSCrypt，因此尚无可靠的公开数字说明其使用人数。 DNSCrypt 项目 (https://dnscrypt.info/)；APNIC Labs 加密 DNS 测量。 ### 加密无法隐藏您访问哪些网站 即使使用 DoH，流量分析仍能以高准确率识别您访问的域名，而标准 EDNS 填充无法完全阻止。如果这种威胁模型适用于您，请将加密 DNS 与 Tor 或 oblivious 设计结合使用，而非依赖填充。 Siby 等，NDSS 2020。 ### 公共解析器的行为并不一致 2023 年针对主要解析器的扩展 DNS 错误码研究显示，在 94% 的测试案例中，它们对错误诊断报告存在分歧，其中 Cloudflare 最为精确。不同提供商在实现质量和标准符合性方面存在差异，这会影响故障排除和可靠性。 Nosyk, Korczyński & Duda, IMC 2023。 **参考文献** - A. Hounsel 等，"对比 DNS、DoT 和 DoH 对 Web 性能的影响"，WWW 2020 (arXiv:1907.08089) (https://arxiv.org/abs/1907.08089)。 - T. Böttger 等，"DNS-over-HTTPS 成本的实证研究"，ACM IMC 2019 (https://conferences.sigcomm.org/imc/2019/program/)。 - R. Chhabra, P. Murley, D. Kumar, M. Bailey, G. Wang，"全球 DNS-over-HTTPS 性能测量"，ACM IMC 2021 (https://conferences.sigcomm.org/imc/2021/accepted/)。 - C. Lu 等，"端到端大规模加密 DNS 测量：我们取得了多大进展？"，ACM IMC 2019 (https://conferences.sigcomm.org/imc/2019/program/)。 - M. Kosek 等，"一统天下？DNS over QUIC 初探"，PAM 2022 (arXiv:2202.02987) (https://arxiv.org/abs/2202.02987)。 - S. Siby 等，"加密 DNS = 隐私？流量分析视角"，NDSS 2020 (arXiv:1906.09682) (https://arxiv.org/abs/1906.09682)。 - P. Schmitt, A. Edmundson, N. Feamster，"Oblivious DNS：DNS 查询的实用隐私保护"，PoPETS 2019 (arXiv:1806.00276) (https://arxiv.org/abs/1806.00276)。 - S. Singanamalla 等，"Oblivious DNS over HTTPS (ODoH)"，arXiv:2011.10121 (https://arxiv.org/abs/2011.10121)。 - M. Müller 等，"滚啊滚，滚你的根：首次 DNSSEC 根 KSK 轮换分析"，ACM IMC 2019 (https://conferences.sigcomm.org/imc/2019/program/)。 - "对 DNS 解析器 ECS 行为的研究"，ACM IMC 2019 (https://conferences.sigcomm.org/imc/2019/program/)。 - G. Moura, S. Castro, W. Hardaker, M. Wullink, C. Hesselman，"云化互联网：DNS 流量集中化程度如何？"，ACM IMC 2020 (https://conferences.sigcomm.org/imc/2020/accepted/)。 - Y. Nosyk, M. Korczyński, A. Duda，"扩展 DNS 错误码：释放 DNS 故障排除的全面潜力"，ACM IMC 2023 (https://dl.acm.org/doi/10.1145/3618257.3624835)。 **小型及社区运营的解析器** 小众、爱好或单运营商服务，未包含在上述对比中。值得了解，但在依赖前请确认其当前状态和政策。 - DNS4all (https://dns4all.eu/) (194.0.5.3)：欧洲解析器，专注于中立性和性能；无过滤。 - BlahDNS (https://blahdns.com/)：开源爱好广告拦截项目，支持 DoH、DoT 和 DoQ，运行于小型区域服务器。 - LibreDNS (https://libredns.gr/)：LibreOps 的社区解析器，提供广告拦截和无日志政策；支持 DoH 和 DoT。 - Dismail.de (https://dismail.de/)：注重隐私的德国社区解析器，无日志记录；支持 DoH 和 DoT。 - **应避免的过时或已停运服务：** Oracle Dyn、Level3 (4.2.2.x)、Freenom World、dns0.eu（请改用 DNS4EU 或 NextDNS）和 Norton ConnectSafe 出现在旧列表中，但均已过时、非官方或已停运。