DNS解析器指南29个公共解析器对比多项研究助你按需选择解析器比较研究独立参考资料选择公共DNS解析器依据自身需求来挑选比如隐私保护、恶意软件拦截、家长控制、速度、IPv6支持或者特定司法管辖区等。借助筛选工具能从29个全球公共解析器里找出契合你要求的选项。之后还会给出完整的比较表格以及基于研究的决策建议。[查找你的解析器](###) [比较全部29个解析器](###)- 29个公共解析器- 16个司法管辖区- DoH / DoT / DoQ加密传输协议- 引用12项研究步骤1交互式筛选工具为你的需求找到合适的解析器勾选对你重要的选项。传输协议、DNSSEC、IPv6、司法管辖区和运营商类型属于硬性筛选条件。各项优先级会进行评分和排序。我的优先级-最高隐私保护且无日志记录尽量减少或不进行查询日志记录由注重隐私的运营商提供服务。-拦截恶意软件和网络钓鱼默认开启安全黑名单或可通过简单设置启用。-拦截广告和跟踪器提供全网范围的广告和跟踪器过滤功能。-家长控制和成人内容拦截具备家庭或成人内容过滤选项。-无过滤原始DNS精确返回发布的答案不做任何修改。-完全可定制过滤可通过账户自定义黑名单或规则。-顶级速度全球任播拥有大型低延迟任播网络。-非商业运营商由非营利组织、注册管理机构、社区或公益组织运营而非营利性公司。必须支持加密DNS- DNS-over-HTTPS (DoH)- DNS-over-TLS (DoT)- DNS-over-QUIC (DoQ)- DNSCrypt其他要求- 必须验证DNSSEC- 必须提供IPv6支持提供IPv6解析器地址- 运营商司法管辖区- 运营商类型任意、非营利组织/社区/公益组织、商业机构[清除所有筛选条件](###)推荐的解析器步骤2全面比较全部29个全球公共解析器点击列标题可进行排序。可按名称、运营商、司法管辖区或功能进行搜索。过滤变体地址恶意软件、家庭、无过滤会列在过滤单元格中。解析器司法管辖区类型主IP地址v4 / v6过滤默认及变体DNSSEC传输协议日志记录ECS证据如何决策研究结果分析以下是同行评审的DNS测量研究结果这些结果会影响上述各项权衡。速度普通DNS延迟最低但加密DNS也不逊色加密传输协议DoH和DoT会增加每次查询的延迟但整页加载时间通常与普通DNS相近而且实际上DoH的额外开销较小。在丢包率高或延迟大的网络连接中普通的Do53仍然表现更优。不同提供商和地区的性能也有所差异因此最快的解析器取决于你的地理位置。引用文献Hounsel等人WWW 2020Bottger等人IMC 2019Chhabra等人IMC 2021。加密DNS不仅防窥探还能抵御篡改对加密DNS进行的最大规模端到端研究发现与普通DNS相比加密DNS查询在传输过程中被拦截或篡改的可能性要小得多且额外开销极小。不过运营商的质量参差不齐该研究中约25%的DoT提供商提供的TLS证书无效因此建议选择运营良好的提供商。引用文献Lu等人IMC 2019。加密可向网络隐藏查询但无法向解析器隐藏无论你选择哪家提供商它仍然能够看到你查询的每个域名。如果你对此有所担忧建议选择不记录日志的运营商或者采用隐蔽设计ODoH通过代理将你的身份与查询分离使任何一方都无法同时获取两者信息。Cloudflare和Apple已经部署了ODoH。引用文献Schmitt、Edmundson和FeamsterPoPETS 2019Singanamalla等人2021。DNSSEC验证可防止伪造答案只有具备验证功能的解析器才能保护你免受伪造记录的侵害。Google、Cloudflare和Quad9都支持DNSSEC验证并且在首次根密钥KSK滚动更新时它们都能正常运行未对用户造成影响。如果数据完整性对你很重要那么DNSSEC验证是必不可少的。引用文献Muller等人IMC 2019。ECS在速度和隐私之间进行权衡EDNS客户端子网ECS会将你的部分IP地址发送给CDN以实现更好的地理路由。Google和OpenDNS会发送ECS信息以实现更精准的CDN映射而Cloudflare和标准的Quad9则出于隐私考虑不发送ECS信息。你可以根据自己更看重速度还是隐私来进行选择。引用文献A Look at the ECS Behavior of DNS ResolversIMC 2019。司法管辖区和集中化也很重要运营商的法律所在地决定了其可能受到的法律强制要求和日志记录规定而且目前少数几家提供商承担了全球大部分递归流量。美国国家安全局NSA也警告称使用外部解析器会绕过内部DNS过滤和检查因此需要在控制权和便利性之间进行权衡。引用文献Moura等人IMC 2020NSA指南2021。DNS-over-QUIC现已成为最快的加密传输协议2022年对DoQ的测量发现它在响应时间上已经超过了DoT和DoH不过约40%的握手过程会受到QUIC地址验证限制的影响而变慢。如果你的客户端和解析器都支持DoQ如Quad9、AdGuard、NextDNS、Control D、Mullvad、UncensoredDNS以及中国的主要解析器那么DoQ是首选的加密选项。引用文献Kosek等人PAM 2022。DNSCrypt最古老的加密选项也是最难衡量的DNSCrypt早于DoH、DoT和DoQ2版本可追溯到2013年。它使用解析器的预共享公钥从第一个数据包开始进行加密因此不存在明文主机名查找也不依赖证书颁发机构其匿名DNS模式2019年推出还能隐藏客户端IP地址。在本文涉及的解析器中Quad9、OpenDNS、AdGuard、NextDNS、Control D和Yandex都提供了DNSCrypt支持。不过可靠的使用数据较为匮乏像 [APNIC Labs](https://stats.labs.apnic.net/edns) 这样的大规模测量工具会跟踪DoH和DoT但不跟踪DNSCrypt因此目前没有可靠的公开数据表明有多少人在使用它。引用文献[DNSCrypt Project](https://dnscrypt.info/)APNIC Labs加密DNS测量。加密无法隐藏你访问的网站即使使用DoH流量分析仍能高度准确地识别你访问的域名而且标准的EDNS填充并不能完全防止这种情况。如果这对你构成威胁建议将加密DNS与Tor或隐蔽设计结合使用而不是仅仅依赖填充技术。引用文献Siby等人NDSS 2020。公共解析器的行为不尽相同2023年对主要解析器的扩展DNS错误进行的研究发现在94%的测试用例中它们在诊断错误报告方面存在分歧其中Cloudflare的表现最为精确。不同提供商在实现质量和标准合规性方面存在差异这会影响故障排除和可靠性。引用文献Nosyk、Korczyński和DudaIMC 2023。参考文献- A. Hounsel等人Comparing the Effects of DNS, DoT, and DoH on Web Performance[WWW 2020 (arXiv:1907.08089)](https://arxiv.org/abs/1907.08089)。- T. Bottger等人An Empirical Study of the Cost of DNS-over-HTTPS[ACM IMC 2019](https://conferences.sigcomm.org/imc/2019/program/)。- R. Chhabra、P. Murley、D. Kumar、M. Bailey、G. WangMeasuring DNS-over-HTTPS Performance Around the World[ACM IMC 2021](https://conferences.sigcomm.org/imc/2021/accepted/)。- C. Lu等人An End-to-End, Large-Scale Measurement of DNS-over-Encryption: How Far Have We Come?[ACM IMC 2019](https://conferences.sigcomm.org/imc/2019/program/)。- M. Kosek等人One to Rule Them All? A First Look at DNS over QUIC[PAM 2022 (arXiv:2202.02987)](https://arxiv.org/abs/2202.02987)。- S. Siby等人Encrypted DNS Privacy? A Traffic Analysis Perspective[NDSS 2020 (arXiv:1906.09682)](https://arxiv.org/abs/1906.09682)。- P. Schmitt、A. Edmundson、N. FeamsterOblivious DNS: Practical Privacy for DNS Queries[PoPETS 2019 (arXiv:1806.00276)](https://arxiv.org/abs/1806.00276)。- S. Singanamalla等人Oblivious DNS over HTTPS (ODoH)[arXiv:2011.10121](https://arxiv.org/abs/2011.10121)。- M. Muller等人Roll, Roll, Roll your Root: Analysis of the First Ever DNSSEC Root KSK Rollover[ACM IMC 2019](https://conferences.sigcomm.org/imc/2019/program/)。- A Look at the ECS Behavior of DNS Resolvers[ACM IMC 2019](https://conferences.sigcomm.org/imc/2019/program/)。- G. Moura、S. Castro、W. Hardaker、M. Wullink、C. HesselmanClouding up the Internet: how centralized is DNS traffic becoming?[ACM IMC 2020](https://conferences.sigcomm.org/imc/2020/accepted/)。- Y. Nosyk、M. Korczyński、A. DudaExtended DNS Errors: Unlocking the Full Potential of DNS Troubleshooting[ACM IMC 2023](https://dl.acm.org/doi/10.1145/3618257.3624835)。运营和社区数据这些数据虽未经同行评审但具有权威性且会持续更新有助于了解解析器生态系统的实时状态。- ICANN [标识符技术健康指标 (ITHI)](https://ithi.research.icann.org/)跟踪 [执行DNSSEC验证的解析器比例](https://ithi.research.icann.org/graph-m5.html) 和 [解析器集中度](https://ithi.research.icann.org/graph-m4.html)即有多少解析器处理了大部分查询。- DNS-OARC [研讨会演讲](https://www.youtube.com/DNS-OARC) 和 [过往活动存档](https://indico.dns-oarc.net/)每半年举办一次由运营商和研究人员分享有关加密DNS、解析器性能和测量的内容。- APNIC Labs [测量数据](https://labs.apnic.net/measurements/)许多OARC和ICANN演讲背后的实时数据由Geoff Huston提供[各国的DNSSEC验证率](https://stats.labs.apnic.net/dnssec)、[公共解析器的使用情况](https://stats.labs.apnic.net/rvrs) 以及 [DoH和DoT的采用情况](https://stats.labs.apnic.net/edns)。小型和社区运营的解析器这些是未在上述比较中涉及的小众、业余或单一运营商服务。了解它们很有价值但在使用之前需确认其当前状态和政策。- [DNS4all](https://dns4all.eu/) (194.0.5.3)专注于中立性和性能的欧洲解析器不进行过滤。- [BlahDNS](https://blahdns.com/)开源的业余广告拦截项目支持DoH、DoT和DoQ在小型区域服务器上运行。- [LibreDNS](https://libredns.gr/)由LibreOps运营的社区解析器具备广告拦截功能且实行无日志记录政策支持DoH和DoT。- [Dismail.de](https://dismail.de/)注重隐私的德国社区解析器不记录日志支持DoH和DoT。需避免的旧版或已停用服务Oracle Dyn、Level3 (4.2.2.x)、Freenom World、dns0.eu建议使用DNS4EU或NextDNS替代和Norton ConnectSafe虽在旧列表中出现但它们属于旧版、非官方或已停用的服务。数据来源和注意事项解析器的特性信息来自实时的 [维基百科公共递归名称服务器](https://en.wikipedia.org/wiki/Public_recursive_name_server) 功能矩阵和提供商文档包括 [CIRA](https://www.cira.ca/en/canadian-shield/configure/summary-cira-canadian-shield-dns-resolver-addresses/)、Cloudflare、Google、Quad9、AliDNS、DNS.WATCH和UncensoredDNS于2026年6月进行了交叉核对。由于提供商可能会更改IP地址和功能因此在部署之前请在运营商的官方网站上确认当前地址。