一段话先选 DNS
中国大陆: 优先 223.5.5.5 (AliDNS) 或 119.29.29.29 (DNSPod), 国内站点最快, 稳定可达。 追求隐私: 选 1.1.1.1 (Cloudflare) 或 9.9.9.9 (Quad9) — 第三方审计的不日志承诺。 家庭过滤: 选 1.1.1.3 (Cloudflare Family) 或 185.228.168.168 (CleanBrowsing Family) 屏蔽成人 / 恶意。 广告拦截: 选 94.140.14.14 (AdGuard DNS)。 全球最快: Cloudflare 1.1.1.1 (330 PoP) + Quad9 (245 PoP) 是两个最广覆盖。
一、公共 DNS 是什么? 跟 ISP DNS 有啥区别
DNS (Domain Name System) 把域名翻译成 IP 地址。当你访问 google.com, 操作系统会问一个 recursive resolver (递归解析器): "google.com 的 IP 是?" — 这个 resolver 就是 DNS server。
默认你用的是 ISP DNS (你家宽带分配的)。问题在于:
- 劫持广告 — 不少 ISP 把 NXDOMAIN (域名不存在) 返回劫持成广告页面
- 日志贩卖 — 你查的所有域名都被 ISP 记录, 可能用于广告画像或贩卖
- 速度慢 — 小运营商 DNS 缓存命中率低, 解析时间几百毫秒
- 污染 — 中国大陆部分 ISP 对境外域名 DNS 会被污染
公共 DNS = 第三方运营的免费 / 付费 resolver, 解决以上问题, 用一个 IP 地址 (如 1.1.1.1) 替代 ISP DNS 即可。
二、15+ 主流公共 DNS 对照表
按 "国际 → 中国大陆 / 港台" 排序。Anycast PoP 数取自各家官方近期数字。
| 品牌 / 产品 | IPv4 主备 | IPv6 | 过滤策略 | DoH / DoT | PoP | 中国可达 |
|---|---|---|---|---|---|---|
| Cloudflare 1.1.1.1 | 1.1.1.1 / 1.0.0.1 | 2606:4700:4700::1111 / 2606:4700:4700::1001 | 无过滤 无过滤, 纯净解析 | DoHDoT | 330 | 间歇 |
| Cloudflare 1.1.1.2 / 1.1.1.3 (Family) | 1.1.1.2 / 1.0.0.2 / 1.1.1.3 / 1.0.0.3 | 2606:4700:4700::1112 / 2606:4700:4700::1002 | 家长 1.1.1.2 阻止恶意域名;1.1.1.3 同时阻止成人内容 | DoHDoT | 330 | 间歇 |
| Google Public DNS | 8.8.8.8 / 8.8.4.4 | 2001:4860:4860::8888 / 2001:4860:4860::8844 | 无过滤 无过滤 | DoHDoT | 200 | 不可达 |
| Quad9 9.9.9.9 | 9.9.9.9 / 149.112.112.112 | 2620:fe::fe / 2620:fe::9 | 拦恶意 默认阻止已知恶意域名 (基于 IBM X-Force 等多源 threat feed) | DoHDoT | 245 | 间歇 |
| Cisco OpenDNS OpenDNS Home | 208.67.222.222 / 208.67.220.220 | 2620:119:35::35 / 2620:119:53::53 | 拦恶意 钓鱼网站 + 恶意域名拦截; 注册后可加家长控制 | DoHDoT | 35 | 间歇 |
| Control D Public DNS | 76.76.2.0 / 76.76.10.0 | 2606:1a40:: / 2606:1a40:1:: | 无过滤 默认无过滤; 注册账号可选 40+ 过滤档 | DoHDoT | 270 | 间歇 |
| AdGuard AdGuard DNS | 94.140.14.14 / 94.140.15.15 | 2a10:50c0::ad1:ff / 2a10:50c0::ad2:ff | 拦广告 阻断广告 + tracker + 恶意域名 | DoHDoT | 60 | 间歇 |
| CleanBrowsing Family Filter | 185.228.168.168 / 185.228.169.168 | 2a0d:2a00:1:: / 2a0d:2a00:2:: | 家长 阻断成人内容 + 恶意域名 + 强制 Google/Bing 安全搜索 | DoHDoT | 12 | 间歇 |
| Verisign Public DNS | 64.6.64.6 / 64.6.65.6 | 2620:74:1b::1:1 / 2620:74:1c::2:2 | 无过滤 无过滤, 强调稳定性 | DoHDoT | 26 | 间歇 |
| Lumen / CenturyLink Level3 DNS | 4.2.2.1 / 4.2.2.2 | — | 无过滤 无过滤, 历史悠久的 Tier-1 ISP DNS | DoHDoT | 10 | 间歇 |
| 阿里云 (AliDNS) AliDNS | 223.5.5.5 / 223.6.6.6 | 2400:3200::1 / 2400:3200:baba::1 | 无过滤 无过滤, 中国大陆全境稳定 | DoHDoT | 50 | 稳定 |
| 腾讯 (DNSPod) DNSPod Public DNS+ | 119.29.29.29 / 182.254.116.116 | 2402:4e00:: / 2402:4e00:1:: | 无过滤 无过滤, 腾讯运营 | DoHDoT | 40 | 稳定 |
| 114DNS 114DNS | 114.114.114.114 / 114.114.115.115 | — | 无过滤 默认无过滤 (114DNS 安全版 114.114.114.119 拦截钓鱼) | DoHDoT | 8 | 稳定 |
| 360 360 安全 DNS | 101.226.4.6 / 218.30.118.6 | — | 拦恶意 拦截钓鱼 / 木马 / 挂马网站 | DoHDoT | 6 | 稳定 |
| 中华电信 (HiNet) HiNet DNS | 168.95.1.1 / 168.95.192.1 | 2001:b000:168::1 / 2001:b000:168::2 | 无过滤 无过滤, 台湾 ISP DNS | DoHDoT | 4 | 间歇 |
点击表里任一 IP 跳到 CleanIP 的 IP 情报页: 1.1.1.1, 8.8.8.8, 9.9.9.9, 223.5.5.5, 119.29.29.29。
三、按需选 DNS — 5 个使用场景
3.1 追求速度 / 全球覆盖
Cloudflare 1.1.1.1 是公认最快, 330 个 PoP 节点几乎贴近所有大城市。Quad9 (245 PoP) 紧随其后。 实测可在 dnsperf.com 看你所在地区的实时排名。
3.2 追求隐私 / 不日志
Cloudflare 1.1.1.1 跟 KPMG 签了独立审计, 承诺 24 小时内删除全部查询日志。Quad9 是瑞士非营利组织, 隐私法规更严。 注意: Google 8.8.8.8 会保留性能日志, AdGuard / AliDNS / DNSPod 的政策见各自官网。
3.3 屏蔽恶意 / 钓鱼
Quad9 (9.9.9.9) 默认基于 IBM X-Force 等 16 个 threat feed 自动阻断恶意域名, 对老人 / 小孩用户友好。 OpenDNS / CleanBrowsing 也提供类似能力。
3.4 家长控制 / 屏蔽成人
Cloudflare 1.1.1.3 + 1.0.0.3 (Family) 或 CleanBrowsing 185.228.168.168 (Family) — 不光屏蔽恶意域名, 还强制 Google / Bing 安全搜索。 适合学校 / 家庭路由器。
3.5 屏蔽广告 / 跟踪器
AdGuard DNS (94.140.14.14) — 网络层屏蔽广告, 不需要装浏览器扩展, 全屋设备生效。
3.6 中国大陆稳定优先
AliDNS (223.5.5.5) 是国内首选, 阿里云运营, 国内 ISP 路由优。DNSPod (119.29.29.29) 腾讯运营, 类似定位。 114DNS (114.114.114.114) 老牌, 知名度高但 IPv6 不支持。
四、怎么配置公共 DNS
4.1 路由器级 (推荐) — 全屋生效
- 登录路由器后台 (一般 192.168.1.1 / 192.168.0.1)
- 找 "DHCP 服务" / "LAN 设置" / "DNS 服务器"
- 把 主 / 备 DNS 改成你选的 IP (例: 主 1.1.1.1 备 1.0.0.1)
- 保存重启路由器, 全屋设备自动用新 DNS
4.2 系统级 — 只对当前设备
- Windows: 设置 → 网络和 Internet → 当前网络 → DNS 服务器分配 → 编辑 (IPv4 + IPv6 都改)
- macOS: 系统设置 → 网络 → 详细信息 → DNS → 添加 DNS 服务器
- iOS: 设置 → Wi-Fi → 当前 Wi-Fi → 配置 DNS → 手动
- Android: 设置 → 网络 → 私人 DNS → 输入主机名 (如
dns.alidns.com)
4.3 浏览器 DoH (DNS-over-HTTPS)
浏览器自己加密 DNS, 绕过操作系统的 DNS 设置。隐私最强, 但只影响浏览器内流量。
- Chrome: 设置 → 隐私和安全 → 安全 → 使用安全 DNS → 选 Cloudflare / Google / 自定义
- Firefox: 设置 → 隐私 → 启用 DNS-over-HTTPS → 默认 Cloudflare
- Edge: 设置 → 隐私 → 使用安全 DNS
五、DoH 跟 DoT 是啥区别? 为什么重要
传统 DNS 用 UDP 53 端口明文传输, ISP / 黑客 / 公共 WiFi 都能看到你查了什么域名。 DoH (DNS-over-HTTPS) 把查询封装在 HTTPS 里 (443 端口), 跟正常网页流量混在一起, 难以审查 / 拦截。 DoT (DNS-over-TLS) 也加密, 但用专用 853 端口 — 更容易被防火墙识别和封锁。
上表里支持 DoH 的 DNS, 推荐优先用 DoH 接入。
想自己验证 DoH 是否生效? 用我们的DNS 泄漏检测: 浏览器直接打到我们自建的权威 NS, 看你的真实 resolver 出口是谁。
六、常见误区
- "换 DNS 能翻墙" — 错。DNS 只解析域名, 不改变路由。中国大陆访问 Google 慢主要是国际带宽问题, 不是 DNS 问题。
- "国外 DNS 永远比国内快" — 错。国内访问国内站点用国外 DNS 反而慢, 因为 CDN 调度可能基于 resolver IP 给错节点。
- "换 DNS 隐藏真实 IP" — 错。DNS 只影响查询过程, 不改变你访问网站时暴露的出口 IP。要隐藏 IP 用 VPN / 代理。
- "114DNS 是最好的" — 这是 10 年前的认知。现在 AliDNS / DNSPod 在节点和支持 DoH 上都更先进。