DNS 代表“域名系统”,每次您在线请求某种信息时,它都会被调用。 DNS 服务器有时被称为互联网的电话簿,因为它们基本上是为计算机设计的大量网址集合。
每个连接到互联网的设备都被分配了一个唯一的标识号,称为互联网协议地址。这通常称为其 IP 地址,或简称为“IP”。计算机通过 IP 地址识别网站。
为了解决这个问题,万维网的发明者蒂姆·伯纳斯·李还发明了统一资源定位器(URL)。这就是我们都熟悉的易于使用的“网址”。
域名系统 (DNS) 只是将 URL Web 地址映射到计算机真正用来识别网站的 IP 地址。因此,DNS 实际上只是一本奇特的地址簿,尽管需要在互联网上不断更新和协调。
每个计算设备和网页都有一个 IP 地址,这是一组独特的数字,可精确定位网络空间中的特定点,例如设备或网站。
您可能已经看到问题所在了;一长串随机数字不太容易记住。例如,这不是我们记住建筑物地址的方式——大多数人只能记住属于他们最亲密的朋友的一小部分两位或三位数的门牌号。
这就是 DNS 发挥作用的地方。DNS 本质上是将这串数字分配给任何使用计算机的人都可以识别、记忆和理解的网址。 URL – 例如英国广播公司– 人类可以理解,而 DNS 链接到的 IP 地址适用于机器。当某些 URL 或设备的 IP 地址发生变化时(并非所有设备和网站都有静态、固定的 IP 地址),系统将通过 DDNS(动态 DNS)服务进行更新。
DNS 服务器尝试自行回答查询,但如果不能,它们会联系 DNS 服务器的长层次结构中的另一个服务器,其中一个将完成请求。
DNS服务器
将 URL 与 IP 地址相匹配的工作(技术上称为解析 DNS 查询)由 DNS 服务器执行。这些服务器还与其他 DNS 服务器通信,以确保所有 URL 到 DNS 映射保持最新。
设置DNS服务器的软件是免费提供,允许任何具有技术知识的人为自己创建一个。但是,默认情况下,您的设备会将 DNS 查询发送到您的互联网提供商 (ISP) 运行的 DNS 服务器。
IPv4 和 IPv6
IP 地址有两个版本:较旧的 Internet 协议版本 4 (IPv4) 和 IPv6。 IPv4 的问题在于该标准仅支持最大 32 位互联网地址,这意味着可分配的 IP 地址为 2^32 个(总共约 42.9 亿个)。他们已经快用完了。
尽管已经找到了延长 IPv4 保质期的解决方法,但这只会推迟不可避免的情况,IPv4 地址将会耗尽。
新的 IPv6 标准通过允许更长的互联网地址来解决这个问题。它使用 128 位网址,将最大可用网址数量扩展到 2^128。这应该能让我们在可预见的未来继续获得 IP 地址。
不幸的是,网站对 IPv6 的采用进展缓慢。这主要是由于升级成本、落后能力问题和纯粹的懒惰造成的。因此,尽管所有现代操作系统都支持 IPv6,但绝大多数网站还不愿意这样做。
ISP 对 IPv6 的采用也很缓慢,导致只有大约25%全球有 50% 的互联网用户能够访问 IPv6 连接(美国超过 50%)。
这导致支持 IPv6 的网站采用双层方法。当连接到仅支持 IPv4 的地址时,它们将提供 IPv4 地址,但当从支持 IPv6 的地址连接时,它们将提供 IPv6 地址。
下面列出的所有 DNS 服务都可以使用 IPv4 和 IPv6 地址进行连接,并且可以将 URL 解析为 IPv4 和 IPv6 地址。
为什么您可能想要更改 DNS 服务器?
为了隐私
DNS 服务器将您访问的每个网站的 URL 转换为 IP 地址。这意味着无论谁运行 DNS 服务器,都可以随时知道您访问过哪些网站。这通常意味着您的 ISP。
在正常情况下,这不是问题,因为无论如何都是您的 ISP 将您连接到这些网站。
DNS 和 VPN
如果您使用 VPN 向您的 ISP 隐藏您的互联网活动,并且 DNS 请求继续由您的 ISP 处理,则任何好处都将被抵消。
幸运的是,目前这种情况相当罕见,因为 VPN 软件几乎总是通过加密的 VPN 隧道路由 DNS 查询。然后,它们可以由 VPN 服务运营的 DNS 服务器私下处理。
这意味着 如果您使用 VPN,则无需手动更改 DNS 服务器。事实上,这样做(我们有时会错误地认为建议)会在加密的 VPN 隧道之外发送 DNS 请求并将您的浏览历史记录提供给第三方,从而损害您的隐私。
某些 VPN 服务不运行自己的 DNS 服务器,而是将 DNS 查询传递到由 DNS 服务(例如 Google DNS)运行的第三方 DNS 服务器。虽然可以说不像解析 DNS 查询本身那么私密,但这并不是一个大问题。
所有查询似乎都来自 VPN 服务器,而不是实际发出查询的设备。这称为代理 DNS 请求,意味着第三方 DNS 解析器不知道是谁发出初始请求。
VPN 软件应通过 VPN 隧道自动路由 DNS 查询,因此不需要进一步配置。如果由于任何原因没有,那么你有一个DNS 泄漏。
DNS 和代理
标准代理连接另一方面,不影响 DNS 请求的处理方式。因此,如果您想在使用时向 ISP 隐藏您在互联网上的活动,那么您将需要手动更改设备使用的 DNS 服务器。
即便如此,虽然它本身不再处理 DNS 查询,但您的 ISP 将能够看到对第三方 DNS 服务器的 DNS 请求,除非它们已加密。我们将在本文后面讨论 DNS 加密。
击败审查制度
DNS 欺骗(也称为 DNS 中毒)是一种快速而肮脏的互联网审查方法。政府所需要的只是指示国内 ISP 要么不解析 DNS 查询,要么将其重定向到警告网站。
只需将您的设备使用的 DNS 服务器更改为位于内容审查国家/地区之外的服务器,即可轻松击败此类审查制度。
这正是 2014 年土耳其封锁 Twitter 和 Facebook 的情况。许多土耳其报纸在其网站上发布了如何更改 DNS 设置的详细信息,Twitter 本身也在推特上发布了 Google DNS 服务器的号码。
2014 年伊斯坦布尔的涂鸦,显示 Google DNS 主 DNS 服务器和辅助 DNS 服务器的数字
为了速度
某些 DNS 服务器比其他服务器更快。这意味着他们可以更快地解析 DNS 查询,从而缩短页面加载时间。
影响 DNS 解析时间的因素包括服务器可用的资源(它有多强大)、一次有多少人使用它以及您与服务器之间的距离。
事实上,无论如何,DNS 转换通常非常快,以至于您在切换 DNS 服务器时不太可能注意到任何变化。但这是可能的,特别是如果您可以切换到离您更近的 DNS 服务器。
2025 年最佳 DNS 服务器
如前所述,如果您使用 VPN,那么您将自动使用 VPN 的 DNS 服务器(或代理您的 VPN 提供商的服务器)。如果使用 VPN,则手动将 DNS 设置更改为下面列出的设置将会损害而不是改善您的隐私。
尽管我们在下面列出了主要和辅助 DNS 服务器地址,但列出的大多数 DNS 服务实际上在世界各地运行数百个 VPN 服务器。但是,连接到列出的 DNS 地址将透明地将您连接到您附近的 DNS 服务器。
云flare 1.1.1.1
主 IPV4 DNS 服务器:1.1.1.1。辅助 IPv4 DNS 服务器:1.0.0.1
主 IPv6 DNS 服务器:2606:4700:4700::1111。辅助 IPv6 DNS 服务器:2606:4700:4700::1001
Cloudflare 是一项内容交付网络服务,以其为网站提供的 DDoS 保护服务而闻名。它现在还运行免费的公共 DNS 服务,天哪,这很好! Cloudflare 的 DNS 服务因其主要 (IPv4) DNS 服务器地址而被快速命名为 1.1.1.1,速度快得惊人,并且非常保护隐私。
DNS 速度测试始终将 1.1.1.1 领先于所有其他公共和 ISP 运行的 DNS 服务(几乎两次与 Google DNS 一样快)。
与许多其他 DNS 解析器不同,1.1.1.1 不提供反网络钓鱼过滤器,但在您进行查询时它不会记录您的 IP 地址。这意味着它没有可以追溯到您的浏览历史记录。这太棒了,因为事实上它没有日志声明,每年都会由毕马威会计师事务所。
除此之外,1.1.1.1 完全支持 DNS over HTTPS (DoH) 和 DNS over TLS (DoT) DNS 加密标准。这些允许您使用 DNSCrypt 或安卓派9.0+ 的新私有 DNS 模式。
不过,iOS 用户和旧版 Android 手机的用户无需担心,因为 1.1.1.1 移动应用程序会使用 DoH 或 DoT 自动加密 DNS 连接。
开放式网卡
主 DNS 服务器:各不相同。辅助 DNS 服务器:各不相同。
OpenNIC 是一家非盈利、去中心化、开放、未经审查和民主的 DNS 提供商。 OpenNIC 旨在从政府和企业手中夺回权力,由志愿者运营,提供完全未经过滤的 DNS 解析服务,DNS 服务器遍布世界各地。
OpenNIC可以解析所有常规的互联网名称与数字地址分配机构TLD(顶级域名,例如.com、.net、.co.uk、.es 等),因此在使用中显得无缝。
它还添加了许多自己的域,只有使用 OpenNIC 才能访问这些域。它们是 indy、.geek、.null、.oss、.parody、.bbs、.fur、.free、.ing、.dyn、.gopher 和 .micro(此外,它还协同操作 TLD .glue,在替代域名系统之间共享)。
OpenNIC 的会员资格向所有互联网用户开放,决策由民主选举的管理员或直接投票做出,所有决定均可通过普通会员投票提出上诉。
与此处列出的其他公司 DNS 旋转器不同,每个 OpenNIC DNS 服务器都有自己的 IP 地址,必须单独配置该地址。日志记录策略、服务器是否支持 DNSCrypt(很多都支持)以及服务器是否执行任何形式的 DNS 阻止(例如垃圾邮件和网络钓鱼防护)也取决于运行它的志愿者。
OpenNIC 网站在清楚地显示哪些服务器做什么以及为您推荐附近的服务器方面做得很好。
OpenNIC 的主要缺点是服务器性能差异很大,服务器经常离线。另一个问题是信任。任何人都可以设置 OpenNIC 服务器在很多方面都很棒,但这确实意味着您无法知道运行任何给定服务器的志愿者是否可信。
DNS.Watch
主 IPv4 DNS 服务器:84.200.69.80。辅助 IPv4 DNS 服务器:84.200.70.40
主 IPv6 DNS 服务器:2001:1608:10:25::1c04:b12f。辅助 IPv6 DNS 服务器:2001:1608:10:25::9249:d69b
如 1.1.1.1、DNS。 Watch 是 100% 免费且未经审查的 DNS 服务。与 OpenNIC 非常相似,它由一群爱好者非营利性地运营。
据我们所知,服务器地址用于实际的 DNS 服务器,这使得 DNS.Watch 成为一个非常小的操作。结果是,性能比 OpenNIC 更加一致,但仅仅两台服务器在速度方面永远无法与在世界各地运营数百台 DNS 服务器的大公司竞争。
DNS.Watch 处理的所有 DNS 查询均受 DNSSEC 保护。这有助于通过允许域所有者将加密签名附加到其域(由 DNSSEC 验证)来验证 DNS 转换的真实性。然而,它不会对翻译进行加密,因此不提供隐私。
应该指出的是,虽然 DNS.Watch 非常重视对 DNSSEC 的支持,但此功能对于 DNS 服务来说是相当标准的,通常只有在不存在时才值得一提。
开放DNS
主 IPv4 DNS 服务器:208.67.222.123。辅助 IPv4 DNS 服务器:208.67.220.220
主 IPv6 DNS 服务器:2620:119:35::35。辅助 IPv6 DNS 服务器:2620:119:53::53
OpenDNS 是一项商业 DNS 服务。它提供免费服务(包括基本的 DNS 解析),但也提供高级家庭和小型企业计划。 OpenVPN 对其保留日志的事实持开放态度,因此它不适合那些注重隐私的人。
它的作用是提供内容过滤,旨在提高您的在线安全和/或防止儿童访问成人材料。
OpenDNS Family Shield 是一项免费服务,已预先配置为阻止成人内容。只需设置即可忘记。 OpenDNS Home 也是免费的,允许您按从高到低的级别过滤 Web 内容,或自定义您想要过滤的内容类别。
如果您想将某个类别中的各个网站列入白名单,那么您需要以每年 19.95 美元的价格升级到高级 OpenDNS Home VIP 计划,该计划还提供详细的使用统计数据。
OpenDNS还提供了非常快速的服务,殴打作为公共 DNS 解析器,速度仅达到 1.1.1.1。
Quad9 DNS
主 IPv4 DNS 服务器:9.9.9.9。辅助 IPv4 DNS 服务器:149.112.112.112
主 IPv6 DNS 服务器:2620:fe::fe、2620:fe::9。辅助 IPv6 DNS 服务器:2620:fe::9。
Quad9 是一项非营利性 DNS 服务,不会收集有关其用户的个人身份信息。至关重要的是,进行查询时不会存储用户的 IP 地址。资金来自多个来源,包括 IBM、Packet Clearing House、全球网络联盟 (GCA) 和伦敦市警察局。
与 1.1.1.1 和 DNS.Watch 不同,Quad9 根据 19 家安全情报公司(包括 IBM 的 X-Force)提供的黑名单来过滤恶意网站。作为回报,它为这些公司提供高级匿名遥测和来自其服务的汇总统计数据。
仅过滤被视为安全威胁的网站,不执行额外的审查。 Quad9 是一家全球性公司,在超过 77 个国家/地区的 135 个地点运行 DNS 服务器。业绩不错,但与行业领先者不符。所有服务器完全支持 DNS-over-TLS (DoT) 和 DNS over HTTPS (DoH)。
DNS 服务器安全吗?
DNS 劫持和 DNSSEC
任何连接到互联网的计算机系统都可能容易受到黑客攻击,而劫持 DNS 服务器是一种相对容易的方法。常见的发生。 DNS 服务器免受黑客攻击的安全程度完全取决于 DNS 提供商设置的屏障。
当黑客获得了 DNS 服务器的控制权后,他们可以简单地重写 DNS“地址簿”,以便将 URL 重定向到恶意域(例如伪造的银行登录页面)。
为了解决这个问题,监督 DNS 系统的机构 ICANN 实施了 DNS 安全扩展(DNSSEC)。该标准允许域所有者将加密签名附加到由 DNSSEC 验证的域,从而帮助验证 DNS 转换的真实性。
DNSSEC 的问题在于,它必须在流程的各个级别实施(且正确),才能有效防止 DNS 劫持。遗憾的是情况并非总是如此。
如果实施正确,DNSSEC 可确保 URL 将解析为正确的 IP 地址。然而,它不会加密翻译,因此不提供隐私......
DNS 加密
虽然它不再处理 DNS 请求,但您的 ISP 通常仍然可以看到发送到第三方解析器的 DNS 查询,因为默认情况下它们以明文形式通过 Internet 发送。它可能不会费心去记录这些,但它可以。它肯定会遵守任何有效的法律要求来开始这样做。
如果您使用 DNS 服务来提高您的隐私,那么您应该在将 DNS 请求发送到 DNS 解析器时对其进行加密。现在有三个标准可以实现此目的:DNSCrypt、DNS over HTTPS (DoH) 和 DNS over TLS (DoT)。
拥有如此多的标准可能看起来有点令人困惑,但就最终用户而言,实施几乎是无缝的,而且它们都很好地完成了加密 DNS 查询的工作。
DNSCrypt 是最古老、最成熟的标准。它基本上是 DoH,带有一些旨在改进常规 DoH 的附加功能。有用的是,DNSCrypt-proxy(见下文)支持 DNSCrypt 和 DoH 连接。
正如已经指出的,安卓派9.0+ 通过其私有 DNS 模式支持“开箱即用”的 DoT。
各种移动应用程序,例如1.1.1.1 版本还支持一种或两种加密标准。另一方面,桌面用户拥有 DNSCrypt 代理。
DNSCrypt代理
DNSCrypt-proxy 是一款开源应用程序,可对支持 DNSCrypt 或 DNS over HTTPS (DoH) 协议的服务器的所有 DNS 查询进行加密。
基本应用程序可用于 Windows、macOS、Android、Linux 等,但它的实现比基本应用程序更易于使用(例如简单的 DNS 加密对于 Windows),或支持其他平台(例如DNS斗篷对于 iOS)。
VPN 和 DNS 加密
当您使用 VPN 时,所有 DNS 查询都通过加密的 VPN 隧道发送,由您的 VPN 提供商(运行自己的 DNS 服务器或将您的查询代理到公共 DNS 服务)处理。因此,DNS 请求受到 VPN 加密的保护,因此不需要额外的加密措施(例如 DNSCrypt)。
DDoS 攻击
DNS 服务偶尔会成为分布式拒绝服务 (DDoS) 攻击的受害者,这些攻击试图通过 DNS 查询压垮服务来破坏服务。此类攻击可能会暂时阻止 DNS 服务运行,但不会对其用户造成任何隐私威胁。看看我们的“什么是 DDoS”文章了解有关此主题的更多信息。
主 DNS 和辅助 DNS 服务器
大多数 DNS 服务都会发布四个 DNS 服务器 IP 地址:主 IPv4 地址和辅助 IPv4 地址,以及主 IPv6 地址和辅助 IPv6 地址。大多数设备的 DNS 设置还支持主 IPv4 地址和辅助 IPv4 地址,但许多设备尚不支持 IPv6。
主地址就是:主 DNS 服务器的 IP 地址。辅助地址只是后备服务器的地址,如果主服务器出现问题,您的设备将默认使用该地址。
在正常情况下,您实际上并不需要输入辅助服务器地址,但有一个后备选项总是好的。
如果您的设备和 ISP 都支持 IPv6 连接,那么您应该将设备的设置配置为连接到 IPv4 和 IPv6 主 DNS 服务器和辅助 DNS 服务器,以确保 IPv6 DNS 查询发送到您选择的 DNS 提供商而不是 ISP。
如果您的设备或 ISP 不支持 IPv6,那么您可以安全地忽略 IPv6 服务器设置。
如何更改 DNS
请查看更改 DNS 设置的完整指南有关此主题的详细指南以及分步屏幕截图。以下是快速摘要版本。
Windows 10
1. 转到开始 -> 设置 -> 网络和 Internet -> 状态 -> 网络和共享中心 -> 更改适配器设置。
2. 右键单击您的互联网连接 -> 属性。
3. 单击(突出显示)“Internet 协议版本 4 (TCP/IPv4)”,然后选择“属性”。
4. 确保选中“使用以下 DNS 服务器地址”单选按钮,然后在“首选 DNS 服务器”字段中输入新的主 DNS 服务器地址,在“备用 DNS 服务器”字段中输入辅助 DNS 服务器地址。单击“确定”。
5. 如果使用 IPv6,则重复步骤 3 和 4,Internet 协议版本 6 (TCP/IPv6) 属性除外。
macOS
1. 转至系统偏好设置 -> 网络 -> [您的互联网连接] -> 高级 -> DNS 选项卡。
2. 使用“-”符号删除现有服务器,使用“+”符号添加新服务器。 macOS 会优先选择此列表中从上到下的服务器,因此如果您使用 IPv6,则将 IPv6 服务器地址排序到顶部。完成后,单击“确定”。
Linux(Ubuntu)
1. 转至设置 -> 网络 [您的互联网连接] -> 齿轮图标 -> IPv4 选项卡。
2. 在 DNS 字段中输入主要和辅助 IPv4 DNS 服务器地址,以逗号分隔。单击“应用”。
3. 如果使用 IPv6,则单击 IPv6 选项卡,然后重复操作,但使用提供的 IPv6 服务器地址除外。
安卓
安卓派9.0+ 通过其私有 DNS 模式支持 DoT 加密连接。
1. 进入设置 -> 连接 -> 更多连接 -> 私有 DNS。
2. 填写您的 DNS 服务提供的私有 DNS 提供商主机名。请注意,这不是常规的主要或辅助 DNS 服务器 IP 地址。例如,1.1.1.1 的私有 DNS 主机名是 1dot1dot1dot1dot.claudflare-dns.com。
旧设备的所有者或希望使用更传统的 DNS 服务器设置(例如,因为他们的 DNS 服务不支持 DoT 加密)的人需要使用应用程序。不幸的是,目前 Android 版的开源 DNSCrypt 并不容易安装,因此您最好使用商业替代品,例如或者或者,应用程序是免费的。
iOS系统
iPhone 和 iPad 用户可以下载DNS斗篷(DNSCrypt-proxy 的实现)和1.1.1.1来自 App Store 的应用程序。
什么是动态 DNS(DDNS 或 DynDNS)?
ISP 通常通过以下方式动态分配住宅 IP 地址动态主机配置协议。也就是说,它们是根据需要分发的,并且可以随机更改。企业连接通常会分配一个永不改变的静态 IP 地址(事实上,这是为企业帐户支付额外费用的主要优势之一)。
与常规 DNS 非常相似,动态 DNS(也称为 DDNS 或 DynDNS)是将 URL 映射到其 IP 地址的一种方法。不同之处在于,如果目标 IP 地址发生变化,动态 DNS 将立即更新其地址簿并将访问者发送到正确的新 IP 地址。
因此,动态 DNS 对于通过其住宅地址托管 FTP 或游戏服务器等在线资源的人特别有用。它允许他们创建并分发可用于访问资源的 URL,无论其 IP 地址是否被 ISP 更改。
为了使用动态 DNS,您必须注册动态 DNS 服务,该服务将为您管理域的 DNS 连接。
DNS 服务器问题
使用 DNS 服务时主要关注三个问题:它是否有效、速度有多快以及是否提供任何隐私。
正如已经讨论过的,大多数 DNS 服务(包括 ISP)都会发布辅助 IP 地址(如果支持,则适用于 IPv4 和 IPv6)作为主地址出现问题时的备用地址。
对于小型服务,这可能是单个备份服务器的 IP 地址。对于在世界各地运行数百个 DNS 服务器的大型服务来说,情况无疑要复杂得多,但原则上的想法是相同的。
尽管 DNS 服务过去曾故意成为拒绝服务 (DoS) 攻击的目标,旨在对其服务造成干扰,但两个地址都失败的可能性非常低。
DNS 查找时间缓慢会增加页面加载时间,因此是切换到第三方 DNS 服务的一个常见原因。在撰写本文时,Cloudflare 1.1.1.1 在速度方面遥遥领先于竞争对手。
当谈到隐私时,默认情况下,您的 ISP 知道您在互联网上所做的一切。改用更注重隐私的 DNS 服务会在一定程度上改善这种情况,但无法阻止您的 ISP 查看您在互联网上的活动。
为此,您需要使用 VPN 服务,该服务会加密您的数据(包括 DNS 请求)、执行 DNS 转换(如常规第三方 DNS 服务)并代理您的互联网连接,以便您的 ISP 无法看到您连接到的网站 – 只能看到您连接到属于 VPN 公司的 IP 地址。
如果您有兴趣将您的 DNS 服务从您的 ISP 处更改出来以改善隐私,那么您最好使用良好的VPN服务反而。
图片来源:@kadikoybaska。