纯净的 DNS 那家强？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

DNS 参考资料

› List of DNS Record Types

› dig 使用说明

› djbdns

› DNS Parameters

› dnslib for Python

这是一个创建于 3558 天前的主题，其中的信息可能已经有所发展或是发生改变。

chinadns
pdnsd
dns security
...
不说难易程度，单说疗效。
毕竟只要成功配置一次，就不用一直折腾了。

请大家分享一下心得，谢谢。

第 1 条附言 · 2020-02-05 12:00:04 +08:00

本人稳定使用二年多的方案如下：

dns2socks：把 DNS 请求转发到本地 socks5 监听端口
dnsmasq with regex support：维护一份域名关键字列表，解析服务器指向 dns2socks。
不在关键字列表中的域名默认采用 ISP 提供的 DNS。

说明：
1. 这样做的好处是，任何采用 CDN 部署的大站解析出来的 IP 都有速度加成。
2. 以上走 socks5 的解析流程有延迟，把 dnsmasq 的缓存时间设置为 1 小时，1 小时内发起相同的请求都是秒解析。

DNS

pdnsd

chinadns

70 条回复 • 2017-09-23 03:55:04 +08:00

chztv

2015-02-25 11:27:56 +08:00

我用Chinadns，感觉还行

hahahasnoopy

2015-02-25 12:46:57 +08:00

请问怎么看dns是否纯净，我在用360dns，希望不会被鄙视

loading

2015-02-25 12:48:29 +08:00

现在在用阿里
223.5.5.5
223.6.6.6

bugmenott

2015-02-25 12:48:34 +08:00

用1.2.4.8会不会被鄙视

bobopu

2015-02-25 12:49:49 +08:00 via iPhone

在国内就别想着纯净了，家里扫的再干净，一出门遍地都是屎，这样的纯净图个心理安慰罢了。

br00k

2015-02-25 12:50:25 +08:00

ChinaDNS+shadowvpn 路由上很安逸。
碰到的问题就是shadowvpn经常无响应，进程也没挂，重新restart一下又好了。

RyuZheng

2015-02-25 12:54:39 +08:00 via Android

@hahahasnoopy 我家这里的360dns被绑架了，一改就有广告，反而用自动的dns没问题，现在用阿里的，因为有好多网页打不开。我的是广东移动

liuchen9586

2015-02-25 12:55:33 +08:00

自建DNS

bdnet

2015-02-25 12:56:21 +08:00

ChinaDNS + ss + openwrt 秒开很爽

chztv

2015-02-25 12:56:56 +08:00

@hahahasnoopy Ping一个Twitter Facebook看一下返回的IP是不是正确的

typcn

2015-02-25 12:58:47 +08:00 via iPhone

ChinaDNS 解析一个域名半分钟真有人受得了？
我现在全程 DNSCrypt
路由器跑 DNSCrypt 然后 Dnsmasq 缓存

hzqim

2015-02-25 13:08:01 +08:00

@typcn DNSCrypt 下载页面只有 MAC 和 WINDOWS 版本，OpenWRT 如何玩？
@bobopu 门口不干净，所以才要出去获取干净的。

davidzhang

2015-02-25 13:19:18 +08:00

360dns

byyhku

2015-02-25 13:42:42 +08:00

@liuchen9586 你用什么搭建 ? BIND？

ScotGu

2015-02-25 13:59:03 +08:00

在我大天朝想用纯净的DNS？自建的都不一定纯洁了。

yanqian

2015-02-25 14:04:31 +08:00

@chztv @bdnet 我也是用Ali DNS，请问ChinaDNS是什么？搜索了下，是指下面这个么？
https://github.com/clowwindy/ChinaDNS

感觉还好复杂的样子。

skpoo

2015-02-25 14:14:48 +08:00

DNSCrypt + dnsmasq-china-list

国内是 114，国外是 OpenDNS

https://github.com/felixonmars/dnsmasq-china-list

chztv

2015-02-25 14:16:22 +08:00

@yanqian 对，就是这个，我是装在路由器OpenWRT上的

66450146

2015-02-25 14:18:47 +08:00

只用 dnsmasq-china-list，国外用 OpenDNS#5353

typcn

2015-02-25 14:22:27 +08:00

@hzqim

我收集了一部分路由器芯片的版本 http://blog.eqoe.cn/posts/openwrt-dnscypt.html

剩下的只能自己编译了，找不上

LazyZhu

2015-02-25 15:00:45 +08:00 via iPhone

目前既能解决DNS污染又无CDN的方案就只有chinadns的压缩指针

zhengkai

2015-02-25 15:07:15 +08:00

做 socks5 隧道，本地 pdnsd 通过隧道访问 linode 的 DNS，绝对无污染，速度也能接受

cnkuner

2015-02-25 15:15:34 +08:00 via Android

在用阿里。

bdnet

2015-02-25 15:25:15 +08:00

@yanqian

@LazyZhu 的回复正解

`目前既能解决DNS污染又无CDN的方案就只有chinadns的压缩指针`

Chinadns 可以利用 cdn 的加速特性同时解决dns污染问题，如果直接用国外 dns 会影响 cdn 判断错误，无法提速。

TinyBBC

2015-02-25 15:27:13 +08:00

我用的pdns和ChinaDNS相配合，不要问我为什么这么干，我也不知道。。。
感觉pdns比DNSCrypt要稳定一点，整体上来说，用户体验还好，首次解析一个域名还真是慢，好在还存起来以后就好了

Oi0Ydz26h9NkGCIz

2015-02-25 15:27:36 +08:00

在用onedns

moenayuki

2015-02-25 16:42:46 +08:00

非53端口的境外 DNS 不就行了……

bjdchwr

2015-02-25 16:44:13 +08:00

直接走VPN+路由表出国，用8.8.8.8，我是这么用的

不用担心污染

chengr28

2015-02-25 17:02:13 +08:00

@LazyZhu 话不要说的这么绝对……现在还有个方法是利用污染的都是国外的地址，对境内的 DNS 服务器解析结果进行过滤，解析到是境外的地址就马上丢弃解析结果再请求境外的 DNS 服务器
这事简单得很

halczy

2015-02-25 17:32:00 +08:00 via iPhone

HE Tunnel + IPv6 保证纯净。

liuchen9586

2015-02-25 17:35:14 +08:00

@byyhku dnsmasq，然后把中国前500的网站DNS请求丢给114DNS处理，其他的统统走加密隧道到8.8.8.8

LazyZhu

2015-02-25 17:53:48 +08:00

@chengr28
"现在还有个方法是利用污染的都是国外的地址，对境内的 DNS 服务器解析结果进行过滤，解析到是境外的地址就马上丢弃解析结果再请求境外的 DNS 服务器"
这个不就是chinadns的方法? 不需要"还有"吧! 请教下,除了chinadns还有哪个软件?
chinadns用的压缩指针,可以不用tunnel/非53端口/DNSCrypt等方法
分境内外多个dns查询就类chinadns的delay, 我也成功在pdnsd打补丁实现了类似的功能:
https://github.com/clowwindy/ChinaDNS/issues/63#issuecomment-73098044

chengr28

2015-02-25 17:59:11 +08:00

@LazyZhu 行啦行啦知道你厉害了……你可以看看这个 https://github.com/chengr28/Pcap_DNSProxy
连压缩指针都不用搞，直接请求，直接就能把污染的结果过滤掉不更好？压缩指针也不是每个服务器都支持的。可惜了精力有限只搞了 Windows 版的唉……

chengr28

2015-02-25 18:01:46 +08:00

Delay 最大的问题还是不确定因素太多，上面也有说了延迟了半分钟都拿不到结果的
能直接过滤都是最好的方法……不过怎么说都是旁门路数，总之这年头都不容易就是了
不用这么动气的

LazyZhu

2015-02-25 18:04:28 +08:00

@chengr28
利用了ttl?

LazyZhu

2015-02-25 18:06:47 +08:00

@chengr28
你的如果在openwrt装上的话,占用空间大概需要1MB...

zihao1123

2015-02-25 18:32:22 +08:00

个人用的114dns 感觉还ok

chengr28

2015-02-25 19:23:35 +08:00

@LazyZhu 现在默认是用这个……不过其实还有几个类似歪门邪道的方法，例如 EDNS0 之类，不过比较麻烦是 CDN 的问题，除了刚才说的那个，还有白名单域名列表外貌似也没有什么更好的方法了……或者如果有可以拿出来一起研究下w

chengr28

2015-02-25 19:24:35 +08:00

@LazyZhu 因为本来这货就不是设计在嵌入式设备里的，移动设备都没有……资源吃得比较多 =_/=

maxchen

2015-02-25 20:08:23 +08:00

https://scr.meo.ws/paste/2015-02-18-22-29-28-FslqbAaf.txt

maxchen

2015-02-25 20:11:15 +08:00

@maxchen All servers have DNSCrypt configured on all its IP addresses and ports
54, 443, 1053, 1194, 5353, 8080 and 27015.

DearTanker

2015-02-25 20:11:23 +08:00

一直114不动摇。。。

Helen

2015-02-25 20:40:08 +08:00

中科大的DNS，无污染速度也快。
202.141.160.99
202.141.176.99

Actrace

2015-02-25 20:45:49 +08:00

不知道楼主是为了避免运营商劫持还是什么的，如果是为了避免运营商劫持，那用非53端口的dns服务器基本就能解决问题了。最好还是要在国内，否则很大程度上会消耗大量时间在域名解析上。

Daniel65536

2015-02-25 20:55:06 +08:00

`目前既能解决DNS污染又无CDN的方案就只有chinadns的压缩指针`

其实黑名单PAC才是最方便的，没有CDN的问题，至于压缩指针，这个太容易被封掉了。

hzqim

2015-02-25 21:07:56 +08:00

@Actrace 目的是防止DNS被污染，用于越墙。
@Daniel65536 维护名单太费精力，特别是在一个能打开的网页引用了不能打开的元素的时候。

kuxiazi

2015-02-25 21:16:38 +08:00 via iPhone

一直用运营商的也没啥感觉

leafof

2015-02-25 21:33:12 +08:00 via iPhone

chinaDNS 经常有延迟，比如百度，有时候要等上七八秒才会打开，有时候也正常。

billwang

2015-02-25 22:32:02 +08:00

用电信的，诺顿的做备用。

geeklian

2015-02-25 23:57:43 +08:00 via iPhone

@leafof chinadns后面随便背个啥dns缓存...dns这玩意缓存期限可以设置很久。

rootroot

2015-02-26 00:11:38 +08:00

路由器dnsmasq 电脑dnscrypt+host 无压力

0Shaka

2015-02-26 00:15:58 +08:00

8888/8844

datou

2015-02-26 00:21:00 +08:00

ipv6 dns绿色环保无污染

zlpd

2015-02-26 01:08:30 +08:00

114的感觉还不错

ibcker

2015-02-26 02:47:53 +08:00

@br00k ssvpn经常没响应指的是多经常？大概多久一次？

br00k

2015-02-26 04:08:59 +08:00

@ibcker 偶尔出现访问国外的网站无响应，去路由restart一下shadowvpn服务就好了。我去看进程是没挂的，路由重启以后出现的概率很高。

fortunezhang

2015-02-26 08:18:52 +08:00

114.114.114.114

yingluck

2015-03-13 11:08:32 +08:00

@chengr28 请问如何判断一个IP是国内的还是国外的，有什么现成的、前人总结的前缀吗？

chengr28

2015-03-13 13:53:01 +08:00

@yingluck 路由表……ICANN 上有

yingluck

2015-03-13 17:32:23 +08:00

@chengr28 我想了一下。对IP来说，国内的少国外的多，国内使用国内的多国外的少，IP查找匹配肯定慢。有时候DNS投毒，对twitter污染的IP有可能是国内的，这样就出错了。觉得还是国内域名top500走白名单比较靠谱。

chengr28

2015-03-13 19:07:37 +08:00

@yingluck 说慢也不慢……如果只是给几个客户的域名请求（例如一个家庭几个人几个设备）做匹配都是瞬间的事情……起码比网络 I/O 快多了 =_/=

sagitarr

2015-03-23 22:22:14 +08:00

@halczy 最近也有其他人推荐我是3700V4 刷的 openwrt 请问如何使用HE Tunnel + IPv6

primroses

2015-03-26 11:37:58 +08:00

@bdnet 我为什么用ss 加 china dns 就不行地址污染的很严重,是因为我用的china dns-c吗

bdnet

2015-03-27 21:18:02 +08:00

@primroses china dns-c 改名了叫 ChinaDNS 你用的最新版本？我参考这篇文章弄的： https://cokebar.info/archives/664

kiah

2015-04-01 15:34:42 +08:00

用百度的不会被鄙视吧

yingluck

2015-05-23 15:04:05 +08:00

@chengr28
使用TTL的原理是这样吗？墙抢答的DNS responce到本地的路由跳数少，TTL大。境外DNS返回的DNS应答经过的TTL跳数多，TTL偏小。隔一段时间就发送心跳包测量到境外DNS的TTL，然后把TTL不符的都丢掉？
那使用境外DNS怎么解决国内CDN分配的问题？
还有一个问题就是境外DNS缓存的IP是不是是DNS所在地访问效果最好的IP？

chengr28

2015-06-01 13:34:35 +08:00

@yingluck 伪造的包 TTL 是随机的……
CDN 只能先请求境内的，用类似路由表的方法识别了，这个上面有说过
不清楚，不过现在权威服务器支持 EDNS Client Subnet 的不少，应该是可以把客户端地址提交去 NS 那边的

kawaii303

2016-04-09 23:32:11 +08:00

@chztv 用中科大 dns 查询 twitter 和谷歌都是正确的 ip ，用 114 查询给我解析到阿塞拜疆去了，看来还是中科大 dns 干净一点

ponyxx

2017-08-14 00:30:28 +08:00 via Android

为何不试试 BAI DNS http://baidns.cn
支持 ecs，比 114，阿里等等都要干净。

zddewe

2017-09-23 03:55:04 +08:00

@Helen 试了一下同样污染