很多人改 DNS,脑子里只剩两个地址:Google 的 8.8.8.8,Cloudflare 的 1.1.1.1。
evilbit 这份公共 DNS Resolver 选择指南,把这个习惯打断了。它覆盖 29 个公共 resolver、16 个司法辖区,比较 DoH、DoT、DoQ、DNSCrypt 等加密传输,也引用了 12 项研究。
重点不是替你选出一个“绝对最快”的 DNS。重点是提醒你:公共 DNS 已经从网络小工具,变成隐私、安全过滤、商业控制和合规边界之间的取舍题。
选择 DNS,别只看速度
DNS 做的事很小:把域名解析成 IP。
但它站的位置很要命。你访问一个网站,通常先要问它一次。谁回答这个问题,谁就可能知道你访问过什么、什么时候访问、从哪里访问。
evilbit 这份指南把选择变量拆得很细,但真正要盯住的是这几项:
| 变量 | 影响什么 | 现实限制 |
|---|---|---|
| 日志政策 | 是否记录查询、是否包含 PII、是否保留匿名样本 | “无日志”“无 PII”“日志可关闭”不是一回事 |
| 加密传输 | DoH/DoT/DoQ/DNSCrypt 可减少链路窥探 | 运营方仍能看到查询 |
| ECS | 可能改善 CDN 命中和访问速度 | 也可能扩大位置信息暴露 |
| DNSSEC / IPv6 | 影响完整性验证和网络兼容性 | 支持情况不等于默认启用效果一致 |
| 过滤类型 | 恶意软件、钓鱼、广告、成人内容、合规过滤 | 过滤不是同一种权力,误杀成本不同 |
| 司法辖区 | 决定数据请求、内容规则和合规义务 | 跨境使用时尤其要看清 |
| 运营方属性 | 商业公司、非营利、注册局、社区网络 | 工程能力、商业激励、治理透明度不同 |
这里最容易混淆的是“隐私”。
加密 DNS 不是隐身衣。它能减少运营商、公共 Wi-Fi 或中间链路上的窥探,但不能让 DNS 运营方看不见查询。浏览器、终端、账号体系、应用内 SDK,也会继续留下线索。
所以这类选择不能只问快不快。要问:它记录什么?保留多久?能不能关?有没有 ECS?在哪个司法辖区?过滤规则谁说了算?
几类公共 DNS,差别很直白
把 29 个服务逐个背下来没必要。真正有用的是看类型。
| 类型 | 代表 | 适合谁 | 主要代价 |
|---|---|---|---|
| 大厂高速型 | Cloudflare 1.1.1.1、Google Public DNS | 追求稳定、低延迟、全球可用的普通用户 | 入口数据交给商业巨头,政策要细看 |
| 安全过滤型 | Quad9、DNS4EU | 家庭、小团队、希望默认拦恶意站点的人 | 过滤规则可能误杀,透明度要持续看 |
| 广告/家长控制型 | AdGuard DNS、Control D | 想在网络层统一控广告、成人内容、社交服务的人 | 越可定制,越依赖账号和服务商 |
| 本地商业 DNS | 114DNS、阿里 DNS、DNSPod、百度 DNS | 看重国内访问、低延迟、本地网络兼容的人 | 受本地法规约束,部分存在日志、ECS、无加密或 IPv4-only 限制 |
| 社区/注册局型 | CZ.NIC ODVR、DNS.WATCH、OpenNIC | 看重非商业属性或特定治理理念的人 | 节点、维护、策略一致性通常不如大厂 |
Cloudflare 的长处在速度、anycast 和经过审计的隐私承诺。Google 有 ECS 和匿名样本机制,但它仍是 Google。这个身份本身就是变量。
Quad9 是非营利,默认做恶意软件和钓鱼拦截。DNS4EU 强调 GDPR、欧盟资助和非商业数据使用。它们不是单纯卖速度,而是在卖一套治理承诺。
中国服务要分开看。阿里 DNS、DNSPod 支持 IPv6 和加密传输,也使用 ECS;114DNS、百度 DNS 等部分服务存在 IPv4-only、无加密传输或日志政策更保守的问题。它们不是不能用,但不能把这些差异当成小字条。
对重视隐私和安全的技术用户,动作很明确:别只改系统 DNS。要同时检查浏览器是否启用 DoH、是否泄露到运营商 DNS、是否需要关闭 ECS、是否接受该服务的日志政策和辖区。
对家庭或小团队管理员,动作也很具体:先确定目标是“防钓鱼和恶意软件”,还是“家长控制和广告过滤”。前者可以优先看 Quad9、DNS4EU 这类默认安全过滤;后者再考虑 AdGuard DNS、Control D 这类可配置服务。不要一上来就追求最复杂的规则,维护成本会反噬。
DNS 是互联网入口的门房
“天下熙熙,皆为利来。”放在公共 DNS 上,很贴切。
免费解析表面卖方便,背后卖的是三件事:控制权、可信关系、合规边界。门房不一定作恶,但门房知道你常去哪里,也可能决定哪扇门该关。
这里有一点历史回声。早期铁路公司控制车站,报业控制发行渠道,电视台控制黄金时段。互联网把入口拆散了很多次,但每次新入口长大,又会重新聚拢权力。DNS 不是同一种媒介,不完全一样;可它重复的是同一种结构:谁守入口,谁就拥有默认影响力。
我不太买账的是“换个加密 DNS 就安全了”。这句话只说对一半。
加密传输解决的是路上被看见的问题,不解决服务商本身是否可信的问题。过滤服务还会再往前走一步:它不只是回答你去哪,还会判断你该不该去。
这不必然是坏事。家庭网络要拦钓鱼站,小公司要降低恶意域名访问,家长要做成人内容过滤,都有真实需求。
问题在默认权力。过滤规则从哪来?谁能改?误伤怎么办?有没有不过滤的出口?日志是否能关闭?这些比“是不是免费”更关键。
接下来最该观察的,不是某个 DNS 又快了几毫秒。
要看三件事:隐私承诺有没有第三方审计或清楚政策;过滤规则是否透明、可关闭、可申诉;各服务在本地法规、跨境数据和加密传输上的边界是否继续收紧。
普通用户选 Cloudflare 或 Google,很多时候够用。家庭和小团队需要的是可维护的安全过滤,不是参数炫技。隐私敏感用户要把司法辖区、日志、ECS、加密传输一起看,单押一个地址没有意义。
DNS 看起来只是一串 IP。可互联网里很多真正的权力,偏偏就藏在这种小地方。