选择公共 DNS 解析器:隐私、性能与安全的权衡
选择公共 DNS 解析器:隐私、性能与安全的权衡
选择 DNS 解析器需要在隐私、速度和安全之间取得平衡。虽然许多用户使用默认的 ISP 设置,但切换到公共解析器可以提供更强的恶意软件拦截、广告过滤以及对本地网络窥探的更高隐私保护。
关键 DNS 解析器类别与推荐
根据您的主要目标,不同的解析器更适合特定需求。基于对 29 家全球提供商的比较,出现了以下类别:
隐私优先且不记录日志的解析器
对于优先考虑匿名性和最小数据保留的用户,具有严格不记录日志政策且位于隐私友好地区的解析器更受青睐。
- DNS.SB:一家位于德国(欧盟)的隐私优先解析器,实行严格的不记录日志政策。
- Mullvad DNS:位于瑞典(欧盟),提供不记录日志政策以及多种过滤选项(广告拦截、恶意软件)。
- UncensoredDNS:由社区运营的仅加密解析器,位于丹麦(欧盟),专注于反审查。
- Wikimedia DNS:一家全球性的非营利解析器,实行不记录日志政策。
安全与恶意软件拦截
这些解析器集成威胁情报,默认阻止已知的恶意域名。
- Quad9 (9.9.9.9):一家瑞士非营利组织,默认阻止恶意软件和网络钓鱼。被广泛视为高安全性、尊重隐私的选项。
- Cloudflare (1.1.1.1):提供专门的变体 1.1.1.2 用于恶意软件拦截,1.1.1.3 用于同时拦截恶意软件和成人内容。
- DNS4EU:欧盟资助的项目,提供针对恶意软件和网络钓鱼的保护性过滤。
高度可定制的过滤
对于需要对阻止内容(广告、跟踪器、社交媒体)进行细粒度控制的用户,基于账户的服务最为有效。
- NextDNS:高度可配置,允许用户自行选择阻止列表和日志设置。
- Control D:提供免费过滤配置文件和完全可定制的解析器。
- AdGuard DNS:提供默认的广告和跟踪器拦截,并有面向家庭的变体。
DNS 传输的技术权衡
选择解析器只是成功的一半;传输协议决定查询如何发送以及是否会被拦截。
加密 DNS(DoH、DoT、DoQ)
加密 DNS 能防止本地网络观察者(如 ISP 或公共 Wi‑Fi 管理员)看到您的查询。但加密并不能隐藏解析器本身对您活动的可见性。
- DNS-over-HTTPS (DoH):支持广泛,且与普通 HTTPS 流量混合在一起。
- DNS-over-TLS (DoT):通常比 DoH 更快,但更容易被网络管理员阻断。
- DNS-over-QUIC (DoQ):最新且最快的加密传输,降低握手延迟。由 Quad9、AdGuard、NextDNS 等提供商支持。
- DNSCrypt:一种较早的替代方案,通过使用预共享公钥避免对证书颁发机构(CA)的依赖。
DNSSEC 的作用
DNSSEC(域名系统安全扩展)验证对于防止 DNS 欺骗和缓存投毒至关重要。用户应优先选择能够验证 DNSSEC 的解析器,以确保收到的答案完整可靠。
EDNS 客户端子网(ECS)与性能
ECS 会将用户 IP 地址的一部分发送给 DNS 服务器,使内容分发网络(CDN)能够将用户路由到最近的服务器。
- 权衡:启用 ECS 可通过优化地理路由提升流媒体和下载速度,但会通过向解析器的合作伙伴共享 IP 片段而降低隐私。
- 注重隐私的解析器(如 Cloudflare 和 Quad9)通常默认禁用 ECS,以保护用户身份。
专家见解与替代方案
社区讨论指出,对于高级用户来说,公共解析器可能并非最佳选择。
自托管自己的解析器
许多技术用户建议运行本地递归解析器,以消除对任何单一公共提供商的信任。
"The nearest resolver is $ sudo apt-get install unbound and now your own host is your resolver."
运行 Unbound、AdGuard Home 或 dnsmasq 等工具,用户可以自行维护日志、实现自定义阻止列表,并避免小型社区服务的“单点故障”。
公共 Wi‑Fi 的困境
用户注意到在公共 Wi‑Fi 上使用自定义 DNS 时会出现显著摩擦。许多门户页面(即“接受服务条款”屏幕)要求使用 ISP 的 DNS 来将用户重定向到登录页面。硬编码公共解析器会破坏此过程,导致用户必须手动切换回 ISP DNS 进行身份验证,然后再切回首选解析器。
法律管辖权与数据治理
管辖权是关键因素。受特定国家法规约束的解析器(例如中国或俄罗斯的解析器)会受到当地关于数据保留和政府访问的法律限制,这一点在权衡性能收益时必须被高度重视。
摘要: 一份关于如何基于隐私、安全和性能选择公共 DNS 解析器的综合指南,分析了 29 家全球提供商以及加密 DNS 传输的技术权衡。
标题: 选择公共 DNS 解析器:隐私、性能与安全的权衡