用於安全瀏覽的最佳 DNS 服務器

當您瀏覽網頁時，您的路由器會發出 DNS 請求。 不過，默認情況下，您的 ISP 會看到您的所有搜索和網址。 您可以更改 DNS 設置以提高安全性和隱私性。

什麼是 DNS 服務器？

DNS（動態名稱系統）服務器是一種自動將人類可讀的 Web 地址轉換為 IP 地址的服務。 這很重要，因為無論是在家裡還是在互聯網上，每個網絡設備都有一個 IP 地址。 像人類一樣使用 IP 地址會很乏味。 即使我們能記住它們，我們也會打錯。 這就是設計域名系統的原因。

當您嘗試連接到網站時，您的路由器會檢查該網站的詳細信息是否在其緩存中。 如果不是，它會通過將網站的域名發送到 DNS 服務器來發出 DNS 請求。 DNS 服務器查找域名，找到 IP 地址，並將其發送回您的路由器，以便它可以嘗試連接到託管該網站的 Web 服務器。

實際上，情況要復雜得多。 默認情況下，您的路由器連接的 DNS 服務器是由您的互聯網服務提供商提供的 DNS 前身服務器。

相關如何修復 iPhone 上的“網絡阻止加密 DNS 流量”

如果前體服務器沒有在自己的緩存中保存網站的詳細信息，它會向 DNS 根名稱服務器發送請求。 根名稱服務器使用可以處理所請求網站的頂級域（.COM、.INFO、.ORG 等）的頂級域服務器列表來響應前驅服務器。 前驅服務器將其請求重複到該列表中的頂級域服務器之一。

頂級域服務器使用實際保存域詳細信息的 DNS 權威名稱服務器的名稱進行響應。 前驅服務器然後再次向權威名稱服務器發出請求，以最終獲得 IP 地址。

在我們的示例中，此人試圖訪問一個網站，但對於由域名標識的任何 Web 資源（例如電子郵件服務器）也是如此。

DNS、安全和隱私

使用 ISP 的默認 DNS 服務器會影響隱私和安全。

DNS 請求中的數據未加密，即使某些附加的元數據已加密。 中間人攻擊或 ISP 的愛管閒事的員工可以很容易地暴露和審查您的在線活動。 這已經夠糟糕了，但使用 ISP 的 DNS 服務器也會削弱您的安全性。

一些最常見的以 DNS 為中心的網絡攻擊包括：

• 分佈式拒絕服務：這會產生大量虛假請求，使 DNS 服務器不堪重負，使其無法為真正的請求提供服務。
• DNS 欺騙/中毒：這會創建錯誤的、惡意的 DNS 響應，您的路由器會據此採取行動。 網絡罪犯可以將用戶發送到欺詐網站而不是真正的網站。 這些可能是收集登錄憑據的網絡釣魚網站。
• DNS 劫持：惡意軟件會感染您的計算機並更改 TCP/IP 設置和行為，以便將 DNS 請求重定向到網絡罪犯的欺詐性 DNS 服務器。 這些將 Web 請求重定向到網絡釣魚或其他惡意網站。
• 域劫持：這是一種罕見的攻擊形式。 它需要更改域註冊商系統中的詳細信息，以便將合法網站的存儲詳細信息指向假冒網站。

標準 DNS 中沒有真正的安全性。 它所能做的就是檢查來自下游服務器的響應是否來自請求發送到的同一 IP 地址。 這是一些東西，但它很難徹底。

開發域名系統安全擴展或 DNSSEC 是為了向 DNS 請求添加數字簽名。 這些允許 DNS 服務器檢查它們收到的數據是否確實來自它聲稱的來源。 這稱為數據來源認證。 最重要的是，接收方可以驗證數據在傳輸過程中沒有被修改。 這稱為數據完整性保護。

DNS over HTTPS，DoH，是一種加密 DNS 請求和服務器間流量的新協議。 但是，記錄和緩存的 DNS 請求未加密。 它們僅在傳輸過程中加密。 當然，大多數 ISP 都會記錄他們能做的一切，而且他們並不都支持 DNSSEC 和 DoH。

相關：更改 DNS 服務器的終極指南

用於安全瀏覽的最佳 DNS 服務器

公共 DNS 服務器將比您的 ISP 的默認產品更私密、更安全且速度更快。 以下是我們推薦的五種最佳 DNS 服務器：

OpenDNS 主頁

• 主 DNS ：208.67.222.222
• 二級 DNS : 208.67.220.220

OpenDNS 於 2015 年被思科收購。“開放”部分意味著它接受來自任何地方的 DNS 請求。 它與開源無關。 OpenDNS 有付費和免費層。

思科的名聲建立在一流的網絡產品和專業知識之上。 思科對網絡和流量路由的了解與地球上任何一家公司一樣多。 它的業務遍及全球，並提供堅如磐石的 DNS 服務。

OpenDSN Home 支持 DoH 和 DNSSEC。 它還捆綁了內容過濾和惡意軟件/網絡釣魚保護。 你不能選擇退出。 您對他們的設置有一定的控制權，但不如您在他們的付費層級上所做的那麼多。

或許更令人擔憂的是，OpenDNS 會記錄您的 DNS 查詢、您的 IP 地址等，並將它所謂的“網絡信標”放置在您訪問過的頁面上。

OpenDNS 快速且安全，但它的隱私問題會讓一些人望而卻步。

谷歌公共 DNS

• 主 DNS ：8.8.8.8
• 二級 DNS : 8.8.4.4

Google 的公共 DNS 對所有人免費，包括商業用途。 它是一項功能強大且可靠的服務，具有快速響應時間。 當然，您可以確定 Google 不會消失。

Google 的公共 DNS 支持許多查找協議，包括基於 HHTPS 的 DNS，它也支持 DNSSEC。 它還包括一些針對 DDoS 攻擊的保護。

谷歌 DNS 的唯一問題是谷歌。 每個人都知道它通過收集數據並將其用於定向廣告來產生收入。 它還與第三方收費共享數據。 因此，谷歌在穩健性和安全性方面得分很高，但在隱私方面得分不高。

谷歌表示，它收集的數據是匿名的，其中沒有個人身份信息，所以這可能不會打擾你。 如果您已經在使用 Gmail、Android 或 Google 網絡搜索引擎等 Google 產品，Google 將不會比現在更多地了解您。

但是，如果您不想與他們的“大技術、大數據、老大哥”公司機構打交道，那麼 Google 將不適合您。

雲焰

• 主 DNS ：1.1.1.1
• 二級 DNS ：1.0.0.1

Cloudflare 以內容交付網絡提供商而聞名，它在鏡像、分佈式實例之間負載共享網站流量，並防止幾乎任何規模的 DDoS 攻擊。

它擁有最快的 DNS 性能，並公開承諾永遠不會記錄您的 IP 地址，並每 24 小時刪除一次操作日誌。 這是由畢馬威會計師事務所獨立核實的。

默認情況下，它不捆綁內容過濾和阻止，但您可以根據需要使用它。 要啟用它，您只需使用 Cloudflare 的備用主要和輔助 DNS 服務器。

Cloudflare DNS 的設置可能很棘手，而且 Cloudflare 網站的導航也不是最直觀的。 不過，一旦它運行起來，您就可以使用最快的 DNS，而且它會尊重您的隱私。

DNS觀察

• 主 DNS ：84.200.69.80
• 二級 DNS : 84.200.70.40

DNSWatch 表示它支持網絡中立性，並且不會嘗試使用其 DNS 服務器過濾任何內容。 它也不記錄任何 DNS 查詢或用戶歷史記錄。 DNSWatch 絕不會分享或出售您的數據，因為它不收集任何數據。

它確實支持 DNSSEC 和 DoH，但其他任何東西（例如針對網絡釣魚站點或惡意軟件站點的保護）都由您自己決定。 它確實提倡的一件事是它拒絕對失敗的請求進行任何劫持。

通常，如果您嘗試訪問的站點沒有響應，ISP 會將您轉到贊助搜索頁面。 輸入到該站點的所有內容都由您的 ISP 記錄。 DNSWatch 不會這樣做，它會向您顯示瀏覽器的默認錯誤連接頁面。

Quad9

• 主 DNS ：9.9.9.9
• 二級 DNS : 149.112.112.112

雖然 Quad9 的總部在歐洲，但它在全球 90 個國家/地區擁有 183 個 DNS 解析器集群。 這是一項免費服務。 它的服務器記錄交易和性能數據，但不記錄個人身份信息。 它記錄時間戳、傳輸協議、請求的域及其地理位置等。

默認情況下，它通過阻止包含惡意軟件​​或獲取用戶憑據的已知不良網站，提供 DNSSEC 和 DoH 之外的安全性。 被阻止站點的列表是從 20 多個公共和商業情報來源收集的。 它不會過濾或阻止內容、廣告或網絡跟踪器，只會過濾或阻止惡意網站。

如果您不想啟用此阻止功能，您可以使用其備用主要和次要 IP 地址。

在速度方面，Quad9 的平均響應時間為 21 毫秒，並且具有 99.94% 的正常運行時間。 Google 和 Cloudflare 的響應時間在 10 毫秒左右，這是它們擅長的地方：原始速度。 然而，21mS 仍然快得讓人眼花繚亂。 在正常操作中，您不會注意到兩者之間有任何區別。

試試看； 他們是免費的

因為這些供應商都有免費的 DNS 服務，你可以挑一個試試。 或者多試幾次。 我們有涵蓋各種平台的指南：

• 如何在 Windows 10 上更改您的 DNS 服務器
• 如何在 Windows 11 上更改您的 DNS 服務器
• 如何在 Chromebook 上更改 DNS 服務器
• 如何在 Mac 上更改 DNS 服務器
• 如何在 Android 上更改您的 DNS 服務器
• 如何在 iPhone 或 iPad 上更改 DNS 服務器

請記住，安全和隱私不是一回事，並非每個 DNS 提供商都對它們給予同等重視。