公共DNS推荐

avatar 2019年2月17日19:20:55来源: maskviral公共DNS推荐已关闭评论

DNS在平时上网中扮演重要角色,如果不注意DNS的话,可能会导致网速慢、弹窗广告、网址打不开、打开不是自己想要的网站、劫持等一系列问题。针对DNS的问题,今天我们就来总结一下,看看哪个DNS服务器最好用!

一、选择公共 DNS 时应该考虑什么

公共 DNS 服务有很多,有大公司搭建的,有非盈利组织搭建的,还有个人搭建的,令人眼花缭乱。在选择的时候我们需要考虑很多方面才能选出适合我们需求的 DNS。通常在选择对于我们上网起非常重要作用的 DNS 时,我们需要考虑以下方面:

  • SLA 服务在线率。DNS 是上网冲浪事时非常重要的一个环节,DNS 的可靠性直接影响到上网的体验;如果 DNS 宕机,那么很大一部分网站将无法访问
  • 响应速度 在访问一个新的网站时,DNS 对这个网站的响应速度会直接影响到当前网站的直观加载速度
  • 准确性 即使不考虑 DNS 污染和投毒,DNS 对网站访问的结果是否准确是非常重要的
  • EDNS 简单地说,EDNS(正确的简称应该是 ECS)有助于帮助你获取最准确的 CDN 解析结果
  • 其它特性 一些个人搭建的 DNS 会提供一些去广告或者爱国上网的功能
  • DNS 出口 通常情况下,公共 DNS 的入口和出口不同。你可以通过 dig 查看你的 DNS 出口 IP:
  1. $ dig whoami.akamai.net

DNS 出口对于 CDN 非常重要。公共 DNS 的本质上就是把你的查询请求转发给上游 DNS;在没有 EDNS 的情况下,CDN 的权威 DNS 会根据公共 DNS 使用的请求 IP(也就是 DNS 出口)来判定你的运营商、你所在的位置,从而返回距离你最近的节点 IP。
所以说,理论上 ISP 给你分配的 DNS 应该是最快的、也是 CDN 友好的。本文接下来提到的 CDN 优化、CDN 友好,也是指的 DNS 出口的 IP 能否让你访问到最快的 CDN 节点。

二、国内一些公共 DNS 服务

1、DNSPod

DNSPod的 Public DNS+是目前国内第一家支持ECS的公共DNS,是DNSPod推出的公共域名解析服务,可以为全网用户提供域名的公共递归解析服务!

https://www.dnspod.cn/Products/Public.DNS

如何选择公共DNS及DNS测试使用

  • Anycast:上海、天津、广州、香港
  • DNS 出口:上述四点
  • DoT、DoH:不支持
  • ECS:部分支持

DNS 服务器 IP 地址:

首选:119.29.29.29

备选:182.254.116.116

这是 DNSPod 建立的公共 DNS,之后 DNSPod 被腾讯收购以后由腾讯云负责运营。腾讯 DNSPod 公共 DNS 配置了 Anycast,节点囊括了腾讯云所有可用区的节点(包括海外),所以速度还是不错的,并且除了支持 ECS 以外还有一些关于 DNS 出口选择优化的加成,所以 CDN 解析结果相对准确很多。但是 SLA 却并不优秀—— 曾经 经常遭遇 DDoS 攻击导致无法解析。除此以外,由于相对出名、使用人数较多,是运营商重点劫持的对象。

2、114DNS(南京信风)

国内用户量巨大的DNS,访问速度快,各省都有节点,同时满足电信、联通、移动各运营商用户,可以有效预防劫持。

https://www.114dns.com/

如何选择公共DNS及DNS测试使用

  • Anycast:南京、济南、芝加哥
  • DNS 出口:未测出
  • DoT、DoH:不支持
  • ECS:不支持

DNS 服务器 IP 地址:
首选:114.114.114.114
备选:114.114.114.115

无疑是国内最著名的公共 DNS,但是显然不是最好的。有 Anycast,国内有南京和青岛济南两个节点、海外有芝加哥节点,响应速度不敢恭维。国内最著名的公共 DNS、使用的人很多,SLA 非常可靠,因此也是运营商重点劫持的对象。但是考虑到南京信风为运营商旁路广告劫持提供技术和硬件支持,对他们提供的公共 DNS 服务还是戴着有色眼镜来看吧。

3、阿里 AliDNS:

阿里公共DNS是阿里巴巴集团推出的DNS递归解析系统(换了牌子的万网解析,不备案不允许 url 转发不用),目标是成为国内互联网基础设施的组成部分,面向互联网用户提供“快速”、“稳定”、“智能”的免费DNS递归解析服务。

http://www.alidns.com/

如何选择公共DNS及DNS测试使用

  • Anycast:成都、深圳、杭州
  • DNS 出口:上述三点
  • DoT、DoH:不支持
  • ECS:部分支持

DNS 服务器 IP 地址:
首选:223.5.5.5
备选:223.6.6.6

阿里建立的公共 DNS。和腾讯一样,阿里公共 DNS 也是搭建在自家的云服务——阿里云上,关于阿里的公共 DNS 没有听说太多宕机、无法使用相关的报告,但是倒是听说阿里公共 DNS 经常返回 NXDOMAIN 影响使用体验。

4、DNS派:

DNS派是聚流科技旗下的DNS服务平台,为个人用户、网站主、企业提供各种有关DNS业务的服务,包括个人上网的域名解析服务、网站授权解析服务、企业域名解析服务等。

https://www.dnspai.com/

如何选择公共DNS及DNS测试使用DNS 服务器 IP 地址:
首选(电信/移动/铁通):101.226.4.6
备选(电信/移动/铁通):218.30.118.6
首选(联通):123.125.81.6
备选(联通):140.207.198.6
作者点评:360的东西我不会用,免费浏览器各种推送广告!!!

5、百度 BaiduDNS:

百度DNS旗下云解析服务,依托百度一流基础设施和强大技术实力,为用户提供免费的、超越竞品的服务体验。没有套餐区分,安全,稳定,高效(太流氓)

https://dudns.baidu.com/

如何选择公共DNS及DNS测试使用

  • Anycast:北京、南京、深圳
  • DNS 出口:上述三点
  • DoT、DoH:不支持
  • ECS:不支持

DNS 服务器 IP 地址:
首选:180.76.76.76

百度的名声现在怕是比 CNNIC 还要臭得多,他们的公共 DNS 于 2017 年上线,现在也不被太多人知道,不过还是简单提两笔:百度也为公共 DNS 也配置了 Anycast,用的人少,也许不容易被运营商劫持,有兴趣的可以试一试看。

6、CNNIC SDNS:

SDNS是由中国互联网络信息中心(CNNIC)正式推出的免费的公共云解析服务(SecureDNS,简称SDNS)。该服务可为广大网民提供安全、智能、高速的上网接入解析服务。

http://www.sdns.cn/

如何选择公共DNS及DNS测试使用

  • Anycast:北京、杭州、香港
  • DNS 出口:CNNIC 和阿里云
  • DoT、DoH:不支持
  • ECS:不支持

DNS 服务器 IP 地址:
首选:1.2.4.8
备选:202.98.0.68

CNNIC 名声并不好(CNNIC Root CA 的故事),因此有些许人相对都有些对 CNNIC 的抵触心理。CNNIC 的公共 DNS(SDNS)国内仅双点部署、Anycast 配得一塌糊涂、速度堪忧,解析结果没有 CDN 优化。至于撇开 CNNIC 来谈 SDNS 推不推荐使用?SLA 比 DNSPod 的公共 DNS 还惨,解析请求时不时超时,嗯。

三、国外常用 DNS 服务

1、OpenDNS:

OpenDNS是一个免费的域名解析服务提供商(DNS)。创建于2006年,长期以来致力于为广大个人用户以及商务企业用户和公共领域提供免费的域名解析服务。

https://www.opendns.com/

如何选择公共DNS及DNS测试使用

  • Anycast:OpenDNS 的 32 个数据中心
  • DNS 出口:未测出
  • DoT、DoH:不支持
  • ECS:支持

DNS 服务器 IP 地址:
首选:208.67.222.222
备选:208.67.220.220
作者点评:国内节点少!貌似就几个。被 Cisco 收购的 OpenDNS 一度是世界上最快的公共 DNS——OpenDNS 在全球拥有 30 余节点并且 Anycast 配的很棒。支持 ECS 和 SLA 达到 100,而且 OpenDNS 开放非常规端口 5353 查询和 TCP 查询,即使从国内直接请求也不容易被污染和劫持。如果你在使用 ChinaDNS 这类工具同时又没有专门为其准备一条加密隧道,那么直连 OpenDNS 的 5353 就是一个不错的替代选择。

2、Google DNS:

谷歌公共域名解析服务(Google Public DNS)是由谷歌公司于2009年发布的一项新的DNS服务。主要为了替代ISPs或其他公司提供的DNS服务。

https://developers.google.com/speed/public-dns/

如何选择公共DNS及DNS测试使用

  • Anycast:Google 的 36 个数据中心(不包括 Google Global Cache)
  • DNS 出口:Google 全球边缘网络
  • DoT、DoH:均支持,域名为 dns.google
  • ECS:支持

DNS 服务器 IP 地址:
首选:8.8.8.8
备选:8.8.4.4
作者点评:机房在国外,国内无节点!适合国外用户使用!最著名的公共 DNS(即使在国内也是很有名的),得益于 Google 庞大的全球网络设施(不过 Google 公共 DNS 并未使用 Google Global Cache,并且在非洲和大洋洲也没有节点),速度虽然不能说是最快的,但是至少不慢;支持 ECS、DoH、DoT,SLA 无限接近 100,海外 CDN 都有针对 Google DNS 做优化,解析海外站点时强烈推荐。

3、Cloudflare DNS

https://1.1.1.1/       https://1.0.0.1/

如何选择公共DNS及DNS测试使用

  • Anycast:Cloudflare 的 160+ 个数据中心
  • DNS 出口:Cloudflare 的 160+ 个数据中心
  • DoT、DoH:均支持,可以使用域名 one.one.one.one 也可以直接使用 IP
  • ECS:不支持

首选:1.1.1.1
备选:1.0.0.1

作者点评:当 Cloudflare 从 APNIC 手上接过 1.0.0.0/24 和 1.1.1.0/24 并架设了公共 DNS 以后,得益于 Cloudflare 全球 160+ 数据中心(Cloudflare 拥有 185+ 数据中心,但其公共 DNS 并没有部署在百度云加速的节点上)、BGP Anycast 和 Cloudflare Argo 等技术,成功超越 OpenDNS 成为了世界上最快的公共 DNS(数据来自 DNSPerf),还支持 DoT、DoH 等常见加密解析方案。由于其隐私政策,Cloudflare 公共 DNS 不记录用户 IP,意味着无法使用 ECS 等技术,不过仗着节点数量众多、DNS 出口覆盖全球各大区域,也适合作为主力 DNS。

4、Freenom World

https://www.freenom.world/zh/index.html?lang=zh

如何选择公共DNS及DNS测试使用

  • Anycast:是
  • DNS 出口:Freenom 的 Transit 的 IP
  • DoT、DoH:不支持
  • ECS:支持

首选:80.80.80.80
备选:80.80.81.81

作者点评:注册过后缀如 .cf .ga .ml 的免费域名的,对 Freenom 这个名字一定不会陌生。这家荷兰域名注册商借助自己旗下的云服务资源也运营了一家公共 DNS 服务,卖点是隐私和安全。支持 ECS,测到的 DNS 出口都是落地 IP。部署了 Anycast 但是节点不多,响应速度并不算拔尖。Freenom 的公共 DNS 的一个特点其实是电信走 163 去 HK,联通移动走 IIJ 去 JP,因此如果你所在的地区和 ISP 对国外递归 DNS 的污染并不严重的话可以尝试使用 Freenom 的 DNS。

5、DNS.sb

https://dns.sb/

如何选择公共DNS及DNS测试使用

  • Anycast:是
  • DNS 出口:SB Network 的上游的 IP
  • DoT、DoH:支持,可以使用 IP 或 dns.sb 域名
  • ECS:不支持

首选:185.222.222.222
备选:185.184.222.222

作者点评:测了测兽兽的 https://dns.sb 递归 DNS。和 Cloudflare 一样支持主流的 DoT、DoH 等加密 DNS 解析。启用了 Anycast,节点可能没有 Cloudflare 那么多,不过还是覆盖了大部分地区;此外,有 VPS 的可以试试 trace 一下 185.222.222.222、没准你会发现你的 VPS 和 dns.sb 在同一内网里。

6、Level3 Public DNS

http://www.level3.com/

首选:209.244.0.3
备用:209.244.0.4

四、公共 DNS 最佳实践

综上所述,如果你需要选择公共 DNS 的话同时需要获得尽可能友好的 CDN 解析结果,解析国内站点推荐使用阿里 DNS 和腾讯 DNSPod;解析海外网站推荐主 DNS 1.0.0.1 或 208.67.222.222,备 DNS 8.8.8.8 或 8.8.4.4;有从国人商家购买 VPS 的可以 trace 一下 185.222.222.222 看看。

  1. 119.29.29.29,101.6.6.6:5353,208.67.222.222:443,80.80.80.80,8.8.8.8,8.8.4.4

五、DNS相关

DNS污染又称为域名服务器缓存污染(DNS Cache Pollution)、域名服务器缓存投毒(DNS Cache Poisoning),是指一些刻意制造或无意中制造出来的域名服务器分组,把域名指往不正确的IP地址,导致无法访问。

DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址。

如何解决DNS污染问题,请我视频教程

DNS解析流量加密工具

(DNSCrypt-Proxy)DNS代理可以加密和认证用户与DNS解析服务器之间的数据传输通信。

IP 数据本身没有任何变化,DNScrypt可以避免DNS查询欺骗.防止DNS劫持污染解析,阻止常见的DNS攻击(如:重放攻击、观察攻击、时序攻击、中间人攻击和解析伪造攻击),确保DNS响应来自选择的DNS服务器。

DNSCrypt

Simple DNSCrypt https://simplednscrypt.org/(Windows客户端)

Dns Jumper https://www.sordum.org/7952/dns-jumper-v2-1/(公共DNS服务器测试及切换工具)

如何选择公共DNS及DNS测试使用

Google出品的DNS测试工具:namebench

公共DNS服务器可用状态查询/DNS检查工具 https://www.diggui.com/

在线DNS测试工具:https://viewdns.info/

IPv6连接测试 http://test-ipv6.com/index.html.zh_CN

avatar