DNS 代表“域名系統”,每次您在線請求某種信息時,它都會被調用。 DNS 服務器有時被稱為互聯網的電話簿,因為它們基本上是為計算機設計的大量網址集合。
每個連接到互聯網的設備都被分配了一個唯一的標識號,稱為互聯網協議地址。這通常稱為其 IP 地址,或簡稱為“IP”。計算機通過 IP 地址識別網站。
為了解決這個問題,萬維網的發明者蒂姆·伯納斯·李還發明了統一資源定位器(URL)。這就是我們都熟悉的易於使用的“網址”。
域名系統 (DNS) 只是將 URL Web 地址映射到計算機真正用來識別網站的 IP 地址。因此,DNS 實際上只是一本奇特的地址簿,儘管需要在互聯網上不斷更新和協調。
每個計算設備和網頁都有一個 IP 地址,這是一組獨特的數字,可精確定位網絡空間中的特定點,例如設備或網站。
您可能已經看到問題所在了;一長串隨機數字不太容易記住。例如,這不是我們記住建築物地址的方式——大多數人只能記住屬於他們最親密的朋友的一小部分兩位或三位數的門牌號。
這就是 DNS 發揮作用的地方。 DNS 本質上是將這串數字分配給任何使用計算機的人都可以識別、記憶和理解的網址。 URL – 例如英國廣播公司– 人類可以理解,而 DNS 鏈接到的 IP 地址適用於機器。當某些 URL 或設備的 IP 地址發生變化時(並非所有設備和網站都有靜態、固定的 IP 地址),系統將通過 DDNS(動態 DNS)服務進行更新。
DNS 服務器嘗試自行回答查詢,但如果不能,它們會聯繫 DNS 服務器的長層次結構中的另一個服務器,其中一個將完成請求。
DNS服務器
將 URL 與 IP 地址相匹配的工作(技術上稱為解析 DNS 查詢)由 DNS 服務器執行。這些服務器還與其他 DNS 服務器通信,以確保所有 URL 到 DNS 映射保持最新。
設置DNS服務器的軟件是免費提供,允許任何具有技術知識的人為自己創建一個。但是,默認情況下,您的設備會將 DNS 查詢發送到您的互聯網提供商 (ISP) 運行的 DNS 服務器。
IPv4 和 IPv6
IP 地址有兩個版本:較舊的 Internet 協議版本 4 (IPv4) 和 IPv6。 IPv4 的問題在於該標準僅支持最大 32 位互聯網地址,這意味著可分配的 IP 地址為 2^32 個(總共約 42.9 億個)。他們已經快用完了。
儘管已經找到了延長 IPv4 保質期的解決方法,但這只會推遲不可避免的情況,IPv4 地址將會耗盡。
新的 IPv6 標准通過允許更長的互聯網地址來解決這個問題。它使用 128 位網址,將最大可用網址數量擴展到 2^128。這應該能讓我們在可預見的未來繼續獲得 IP 地址。
不幸的是,網站對 IPv6 的採用進展緩慢。這主要是由於升級成本、落後能力問題和純粹的懶惰造成的。因此,儘管所有現代操作系統都支持 IPv6,但絕大多數網站還不願意這樣做。
ISP 對 IPv6 的採用也很緩慢,導致只有大約25%全球有 50% 的互聯網用戶能夠訪問 IPv6 連接(美國超過 50%)。
這導致支持 IPv6 的網站採用雙層方法。當連接到僅支持 IPv4 的地址時,它們將提供 IPv4 地址,但當從支持 IPv6 的地址連接時,它們將提供 IPv6 地址。
下面列出的所有 DNS 服務都可以使用 IPv4 和 IPv6 地址進行連接,並且可以將 URL 解析為 IPv4 和 IPv6 地址。
為什麼您可能想要更改 DNS 服務器?
為了隱私
DNS 服務器將您訪問的每個網站的 URL 轉換為 IP 地址。這意味著無論誰運行 DNS 服務器,都可以隨時知道您訪問過哪些網站。這通常意味著您的 ISP。
在正常情況下,這不是問題,因為無論如何都是您的 ISP 將您連接到這些網站。
DNS 和 VPN
如果您使用 VPN 向您的 ISP 隱藏您的互聯網活動,並且 DNS 請求繼續由您的 ISP 處理,則任何好處都將被抵消。
幸運的是,目前這種情況相當罕見,因為 VPN 軟件幾乎總是通過加密的 VPN 隧道路由 DNS 查詢。然後,它們可以由 VPN 服務運營的 DNS 服務器私下處理。
這意味著 如果您使用 VPN,則無需手動更改 DNS 服務器。事實上,這樣做(我們有時會錯誤地認為建議)會在加密的 VPN 隧道之外發送 DNS 請求並將您的瀏覽歷史記錄提供給第三方,從而損害您的隱私。
某些 VPN 服務不運行自己的 DNS 服務器,而是將 DNS 查詢傳遞到由 DNS 服務(例如 Google DNS)運行的第三方 DNS 服務器。雖然可以說不像解析 DNS 查詢本身那麼私密,但這並不是一個大問題。
所有查詢似乎都來自 VPN 服務器,而不是實際發出查詢的設備。這稱為代理 DNS 請求,意味著第三方 DNS 解析器不知道是誰發出初始請求。
VPN 軟件應通過 VPN 隧道自動路由 DNS 查詢,因此不需要進一步配置。如果由於任何原因沒有,那麼你有一個DNS 洩漏。
DNS 和代理
標準代理連接另一方面,不影響 DNS 請求的處理方式。因此,如果您想在使用時向 ISP 隱藏您在互聯網上的活動,那麼您將需要手動更改設備使用的 DNS 服務器。
即便如此,雖然它本身不再處理 DNS 查詢,但您的 ISP 將能夠看到對第三方 DNS 服務器的 DNS 請求,除非它們已加密。我們將在本文後面討論 DNS 加密。
擊敗審查制度
DNS 欺騙(也稱為 DNS 中毒)是一種快速而骯髒的互聯網審查方法。政府所需要的只是指示國內 ISP 要么不解析 DNS 查詢,要么將其重定向到警告網站。
只需將您的設備使用的 DNS 服務器更改為位於內容審查國家/地區之外的服務器,即可輕鬆擊敗此類審查制度。
這正是 2014 年土耳其封鎖 Twitter 和 Facebook 的情況。許多土耳其報紙在其網站上發布瞭如何更改 DNS 設置的詳細信息,Twitter 本身也在推特上發布了 Google DNS 服務器的號碼。
2014 年伊斯坦布爾的塗鴉,顯示 Google DNS 主 DNS 服務器和輔助 DNS 服務器的數字
為了速度
某些 DNS 服務器比其他服務器更快。這意味著他們可以更快地解析 DNS 查詢,從而縮短頁面加載時間。
影響 DNS 解析時間的因素包括服務器可用的資源(它有多強大)、一次有多少人使用它以及您與服務器之間的距離。
事實上,無論如何,DNS 轉換通常非常快,以至於您在切換 DNS 服務器時不太可能注意到任何變化。但這是可能的,特別是如果您可以切換到離您更近的 DNS 服務器。
2025 年最佳 DNS 服務器
如前所述,如果您使用 VPN,那麼您將自動使用 VPN 的 DNS 服務器(或代理您的 VPN 提供商的服務器)。如果使用 VPN,則手動將 DNS 設置更改為下面列出的設置將會損害而不是改善您的隱私。
儘管我們在下面列出了主要和輔助 DNS 服務器地址,但列出的大多數 DNS 服務實際上在世界各地運行數百個 VPN 服務器。但是,連接到列出的 DNS 地址將透明地將您連接到您附近的 DNS 服務器。
雲flare 1.1.1.1
主 IPV4 DNS 服務器:1.1.1.1。輔助 IPv4 DNS 服務器:1.0.0.1
主 IPv6 DNS 服務器:2606:4700:4700::1111。輔助 IPv6 DNS 服務器:2606:4700:4700::1001
Cloudflare 是一項內容交付網絡服務,以其為網站提供的 DDoS 保護服務而聞名。它現在還運行免費的公共 DNS 服務,天哪,這很好! Cloudflare 的 DNS 服務因其主要 (IPv4) DNS 服務器地址而被快速命名為 1.1.1.1,速度快得驚人,並且非常保護隱私。
DNS 速度測試始終將 1.1.1.1 領先於所有其他公共和 ISP 運行的 DNS 服務(幾乎兩次與 Google DNS 一樣快)。
與許多其他 DNS 解析器不同,1.1.1.1 不提供反網絡釣魚過濾器,但在您進行查詢時它不會記錄您的 IP 地址。這意味著它沒有可以追溯到您的瀏覽歷史記錄。這太棒了,因為事實上它沒有日誌聲明,每年都會由畢馬威會計師事務所。
除此之外,1.1.1.1 完全支持 DNS over HTTPS (DoH) 和 DNS over TLS (DoT) DNS 加密標準。這些允許您使用 DNSCrypt 或安卓派9.0+ 的新私有 DNS 模式。
不過,iOS 用戶和舊版 Android 手機的用戶無需擔心,因為 1.1.1.1 移動應用程序會使用 DoH 或 DoT 自動加密 DNS 連接。
開放式網卡
主 DNS 服務器:各不相同。輔助 DNS 服務器:各不相同。
OpenNIC 是一家非盈利、去中心化、開放、未經審查和民主的 DNS 提供商。 OpenNIC 旨在從政府和企業手中奪回權力,由志願者運營,提供完全未經過濾的 DNS 解析服務,DNS 服務器遍布世界各地。
OpenNIC可以解析所有常規的互聯網名稱與數字地址分配機構TLD(頂級域名,例如.com、.net、.co.uk、.es 等),因此在使用中顯得無縫。
它還添加了許多自己的域,只有使用 OpenNIC 才能訪問這些域。它們是 indy、.geek、.null、.oss、.parody、.bbs、.fur、.free、.ing、.dyn、.gopher 和 .micro(此外,它還協同操作 TLD .glue,在替代域名系統之間共享)。
OpenNIC 的會員資格向所有互聯網用戶開放,決策由民主選舉的管理員或直接投票做出,所有決定均可通過普通會員投票提出上訴。
與此處列出的其他公司 DNS 旋轉器不同,每個 OpenNIC DNS 服務器都有自己的 IP 地址,必須單獨配置該地址。日誌記錄策略、服務器是否支持 DNSCrypt(很多都支持)以及服務器是否執行任何形式的 DNS 阻止(例如垃圾郵件和網絡釣魚防護)也取決於運行它的志願者。
OpenNIC 網站在清楚地顯示哪些服務器做什麼以及為您推薦附近的服務器方面做得很好。
OpenNIC 的主要缺點是服務器性能差異很大,服務器經常離線。另一個問題是信任。任何人都可以設置 OpenNIC 服務器在很多方面都很棒,但這確實意味著您無法知道運行任何給定服務器的志願者是否可信。
DNS.Watch
主 IPv4 DNS 服務器:84.200.69.80。輔助 IPv4 DNS 服務器:84.200.70.40
主 IPv6 DNS 服務器:2001:1608:10:25::1c04:b12f。輔助 IPv6 DNS 服務器:2001:1608:10:25::9249:d69b
如 1.1.1.1、DNS。 Watch 是 100% 免費且未經審查的 DNS 服務。與 OpenNIC 非常相似,它由一群愛好者非營利性地運營。
據我們所知,服務器地址用於實際的 DNS 服務器,這使得 DNS.Watch 成為一個非常小的操作。結果是,性能比 OpenNIC 更加一致,但僅僅兩台服務器在速度方面永遠無法與在世界各地運營數百台 DNS 服務器的大公司競爭。
DNS.Watch 處理的所有 DNS 查詢均受 DNSSEC 保護。這有助於通過允許域所有者將加密簽名附加到其域(由 DNSSEC 驗證)來驗證 DNS 轉換的真實性。然而,它不會對翻譯進行加密,因此不提供隱私。
應該指出的是,雖然 DNS.Watch 非常重視對 DNSSEC 的支持,但此功能對於 DNS 服務來說是相當標準的,通常只有在不存在時才值得一提。
開放DNS
主 IPv4 DNS 服務器:208.67.222.123。輔助 IPv4 DNS 服務器:208.67.220.220
主 IPv6 DNS 服務器:2620:119:35::35。輔助 IPv6 DNS 服務器:2620:119:53::53
OpenDNS 是一項商業 DNS 服務。它提供免費服務(包括基本的 DNS 解析),但也提供高級家庭和小型企業計劃。 OpenVPN 對其保留日誌的事實持開放態度,因此它不適合那些注重隱私的人。
它的作用是提供內容過濾,旨在提高您的在線安全和/或防止兒童訪問成人材料。
OpenDNS Family Shield 是一項免費服務,已預先配置為阻止成人內容。只需設置即可忘記。 OpenDNS Home 也是免費的,允許您按從高到低的級別過濾 Web 內容,或自定義您想要過濾的內容類別。
如果您想將某個類別中的各個網站列入白名單,那麼您需要以每年 19.95 美元的價格升級到高級 OpenDNS Home VIP 計劃,該計劃還提供詳細的使用統計數據。
OpenDNS還提供了非常快速的服務,毆打作為公共 DNS 解析器,速度僅達到 1.1.1.1。
Quad9 DNS
主 IPv4 DNS 服務器:9.9.9.9。輔助 IPv4 DNS 服務器:149.112.112.112
主 IPv6 DNS 服務器:2620:fe::fe、2620:fe::9。輔助 IPv6 DNS 服務器:2620:fe::9。
Quad9 是一項非營利性 DNS 服務,不會收集有關其用戶的個人身份信息。至關重要的是,進行查詢時不會存儲用戶的 IP 地址。資金來自多個來源,包括 IBM、Packet Clearing House、全球網絡聯盟 (GCA) 和倫敦市警察局。
與 1.1.1.1 和 DNS.Watch 不同,Quad9 根據 19 家安全情報公司(包括 IBM 的 X-Force)提供的黑名單來過濾惡意網站。作為回報,它為這些公司提供高級匿名遙測和來自其服務的匯總統計數據。
僅過濾被視為安全威脅的網站,不執行額外的審查。 Quad9 是一家全球性公司,在超過 77 個國家/地區的 135 個地點運行 DNS 服務器。業績不錯,但與行業領先者不符。所有服務器完全支持 DNS-over-TLS (DoT) 和 DNS over HTTPS (DoH)。
DNS 服務器安全嗎?
DNS 劫持和 DNSSEC
任何連接到互聯網的計算機系統都可能容易受到黑客攻擊,而劫持 DNS 服務器是一種相對容易的方法。常見的發生。 DNS 服務器免受黑客攻擊的安全程度完全取決於 DNS 提供商設置的屏障。
當黑客獲得了 DNS 服務器的控制權後,他們可以簡單地重寫 DNS“地址簿”,以便將 URL 重定向到惡意域(例如偽造的銀行登錄頁面)。
為了解決這個問題,監督 DNS 系統的機構 ICANN 實施了 DNS 安全擴展(DNSSEC)。該標准允許域所有者將加密簽名附加到由 DNSSEC 驗證的域,從而幫助驗證 DNS 轉換的真實性。
DNSSEC 的問題在於,它必須在流程的各個級別實施(且正確),才能有效防止 DNS 劫持。遺憾的是情況並非總是如此。
如果實施正確,DNSSEC 可確保 URL 將解析為正確的 IP 地址。然而,它不會加密翻譯,因此不提供隱私......
DNS 加密
雖然它不再處理 DNS 請求,但您的 ISP 通常仍然可以看到發送到第三方解析器的 DNS 查詢,因為默認情況下它們以明文形式通過 Internet 發送。它可能不會費心去記錄這些,但它可以。它肯定會遵守任何有效的法律要求來開始這樣做。
如果您使用 DNS 服務來提高您的隱私,那麼您應該在將 DNS 請求發送到 DNS 解析器時對其進行加密。現在有三個標準可以實現此目的:DNSCrypt、DNS over HTTPS (DoH) 和 DNS over TLS (DoT)。
擁有如此多的標準可能看起來有點令人困惑,但就最終用戶而言,實施幾乎是無縫的,而且它們都很好地完成了加密 DNS 查詢的工作。
DNSCrypt 是最古老、最成熟的標準。它基本上是 DoH,帶有一些旨在改進常規 DoH 的附加功能。有用的是,DNSCrypt-proxy(見下文)支持 DNSCrypt 和 DoH 連接。
正如已經指出的,安卓派9.0+ 通過其私有 DNS 模式支持“開箱即用”的 DoT。
各種移動應用程序,例如1.1.1.1 版本還支持一種或兩種加密標準。另一方面,桌面用戶擁有 DNSCrypt 代理。
DNSCrypt代理
DNSCrypt-proxy 是一款開源應用程序,可對支持 DNSCrypt 或 DNS over HTTPS (DoH) 協議的服務器的所有 DNS 查詢進行加密。
基本應用程序可用於 Windows、macOS、Android、Linux 等,但它的實現比基本應用程序更易於使用(例如簡單的 DNS 加密對於 Windows),或支持其他平台(例如DNS斗篷對於 iOS)。
VPN 和 DNS 加密
當您使用 VPN 時,所有 DNS 查詢都通過加密的 VPN 隧道發送,由您的 VPN 提供商(運行自己的 DNS 服務器或將您的查詢代理到公共 DNS 服務)處理。因此,DNS 請求受到 VPN 加密的保護,因此不需要額外的加密措施(例如 DNSCrypt)。
DDoS 攻擊
DNS 服務偶爾會成為分佈式拒絕服務 (DDoS) 攻擊的受害者,這些攻擊試圖通過 DNS 查詢壓垮服務來破壞服務。此類攻擊可能會暫時阻止 DNS 服務運行,但不會對其用戶造成任何隱私威脅。看看我們的“什麼是 DDoS”文章了解有關此主題的更多信息。
主 DNS 和輔助 DNS 服務器
大多數 DNS 服務都會發布四個 DNS 服務器 IP 地址:主 IPv4 地址和輔助 IPv4 地址,以及主 IPv6 地址和輔助 IPv6 地址。大多數設備的 DNS 設置還支持主 IPv4 地址和輔助 IPv4 地址,但許多設備尚不支持 IPv6。
主地址就是:主 DNS 服務器的 IP 地址。輔助地址只是後備服務器的地址,如果主服務器出現問題,您的設備將默認使用該地址。
在正常情況下,您實際上並不需要輸入輔助服務器地址,但有一個後備選項總是好的。
如果您的設備和 ISP 都支持 IPv6 連接,那麼您應該將設備的設置配置為連接到 IPv4 和 IPv6 主 DNS 服務器和輔助 DNS 服務器,以確保 IPv6 DNS 查詢發送到您選擇的 DNS 提供商而不是 ISP。
如果您的設備或 ISP 不支持 IPv6,那麼您可以安全地忽略 IPv6 服務器設置。
如何更改 DNS
請查看更改 DNS 設置的完整指南有關此主題的詳細指南以及分步屏幕截圖。以下是快速摘要版本。
Windows 10
1. 轉到開始 -> 設置 -> 網絡和 Internet -> 狀態 -> 網絡和共享中心 -> 更改適配器設置。
2. 右鍵單擊您的互聯網連接 -> 屬性。
3. 單擊(突出顯示)“Internet 協議版本 4 (TCP/IPv4)”,然後選擇“屬性”。
4. 確保選中“使用以下 DNS 服務器地址”單選按鈕,然後在“首選 DNS 服務器”字段中輸入新的主 DNS 服務器地址,在“備用 DNS 服務器”字段中輸入輔助 DNS 服務器地址。單擊“確定”。
5. 如果使用 IPv6,則重複步驟 3 和 4,Internet 協議版本 6 (TCP/IPv6) 屬性除外。
macOS
1. 轉至系統偏好設置 -> 網絡 -> [您的互聯網連接] -> 高級 -> DNS 選項卡。
2. 使用“-”符號刪除現有服務器,使用“+”符號添加新服務器。 macOS 會優先選擇此列表中從上到下的服務器,因此如果您使用 IPv6,則將 IPv6 服務器地址排序到頂部。完成後,單擊“確定”。
Linux(Ubuntu)
1. 轉至設置 -> 網絡 [您的互聯網連接] -> 齒輪圖標 -> IPv4 選項卡。
2. 在 DNS 字段中輸入主要和輔助 IPv4 DNS 服務器地址,以逗號分隔。單擊“應用”。
3. 如果使用 IPv6,則單擊 IPv6 選項卡,然後重複操作,但使用提供的 IPv6 服務器地址除外。
安卓
安卓派9.0+ 通過其私有 DNS 模式支持 DoT 加密連接。
1. 進入設置 -> 連接 -> 更多連接 -> 私有 DNS。
2. 填寫您的 DNS 服務提供的私有 DNS 提供商主機名。請注意,這不是常規的主要或輔助 DNS 服務器 IP 地址。例如,1.1.1.1 的私有 DNS 主機名是 1dot1dot1dot1dot.claudflare-dns.com。
舊設備的所有者或希望使用更傳統的 DNS 服務器設置(例如,因為他們的 DNS 服務不支持 DoT 加密)的人需要使用應用程序。不幸的是,目前 Android 版的開源 DNSCrypt 並不容易安裝,因此您最好使用商業替代品,例如或者或者,應用程序是免費的。
iOS系統
iPhone 和 iPad 用戶可以下載DNS斗篷(DNSCrypt-proxy 的實現)和1.1.1.1來自 App Store 的應用程序。
什麼是動態 DNS(DDNS 或 DynDNS)?
ISP 通常通過以下方式動態分配住宅 IP 地址動態主機配置協議。也就是說,它們是根據需要分發的,並且可以隨機更改。企業連接通常會分配一個永不改變的靜態 IP 地址(事實上,這是為企業帳戶支付額外費用的主要優勢之一)。
與常規 DNS 非常相似,動態 DNS(也稱為 DDNS 或 DynDNS)是將 URL 映射到其 IP 地址的一種方法。不同之處在於,如果目標 IP 地址發生變化,動態 DNS 將立即更新其地址簿並將訪問者發送到正確的新 IP 地址。
因此,動態 DNS 對於通過其住宅地址託管 FTP 或遊戲服務器等在線資源的人特別有用。它允許他們創建並分發可用於訪問資源的 URL,無論其 IP 地址是否被 ISP 更改。
為了使用動態 DNS,您必須註冊動態 DNS 服務,該服務將為您管理域的 DNS 連接。
DNS 服務器問題
使用 DNS 服務時主要關註三個問題:它是否有效、速度有多快以及是否提供任何隱私。
正如已經討論過的,大多數 DNS 服務(包括 ISP)都會發布輔助 IP 地址(如果支持,則適用於 IPv4 和 IPv6)作為主地址出現問題時的備用地址。
對於小型服務,這可能是單個備份服務器的 IP 地址。對於在世界各地運行數百個 DNS 服務器的大型服務來說,情況無疑要復雜得多,但原則上的想法是相同的。
儘管 DNS 服務過去曾故意成為拒絕服務 (DoS) 攻擊的目標,旨在對其服務造成乾擾,但兩個地址都失敗的可能性非常低。
DNS 查找時間緩慢會增加頁面加載時間,因此是切換到第三方 DNS 服務的一個常見原因。在撰寫本文時,Cloudflare 1.1.1.1 在速度方面遙遙領先於競爭對手。
當談到隱私時,默認情況下,您的 ISP 知道您在互聯網上所做的一切。改用更注重隱私的 DNS 服務會在一定程度上改善這種情況,但無法阻止您的 ISP 查看您在互聯網上的活動。
為此,您需要使用 VPN 服務,該服務會加密您的數據(包括 DNS 請求)、執行 DNS 轉換(如常規第三方 DNS 服務)並代理您的互聯網連接,以便您的 ISP 無法看到您連接到的網站 – 只能看到您連接到屬於 VPN 公司的 IP 地址。
如果您有興趣將您的 DNS 服務從您的 ISP 處更改出來以改善隱私,那麼您最好使用良好的VPN服務反而。
圖片來源:@kadikoybaska。