Appearance
DNS 域名系统详解
DNS(Domain Name System)是互联网的基础架构之一,负责将人类可读的域名转换为机器可读的 IP 地址。本页面涵盖 DNS 解析原理、记录类型、全球 DNS 服务商推荐及安全机制。
目录
DNS 解析原理
完整解析流程
当你在浏览器中输入 example.com 时,DNS 解析经历以下步骤:
浏览器缓存 → 系统缓存 → 路由器缓存 → 递归 DNS 服务器 → 根域名服务器 → TLD 服务器 → 权威 DNS 服务器各级缓存详解
| 层级 | 缓存时间 | 说明 |
|---|---|---|
| 浏览器缓存 | 几分钟到几小时 | Chrome 等现代浏览器首先检查自身缓存 |
| 系统缓存 | 几分钟 | 操作系统级的 DNS 缓存 |
| 路由器缓存 | 几分钟 | 家用路由器通常也会缓存 DNS |
| 递归解析器 | 几分钟到几小时 | ISP 或公共 DNS 提供商(如 8.8.8.8) |
根域名服务器
全球共有 13 组根域名服务器(A-M),由不同组织运营:
| 根服务器 | 运营商 | IP 地址示例 |
|---|---|---|
| A | VeriSign | 198.41.0.4 |
| B | USC-ISI | 199.9.14.201 |
| C | Cogent Communications | 192.33.4.12 |
| D | University of Maryland | 199.7.91.13 |
| E | NASA | 192.203.230.10 |
TTL 值
TTL(Time To Live)决定了 DNS 记录的缓存时间:
bash
# 查看域名的 TTL 值
dig +ttl example.com NS
# 查看具体 DNS 记录的 TTL
dig example.com A +noall +answerDNS 记录类型
常见记录类型
| 类型 | 名称 | 用途 | 示例 |
|---|---|---|---|
| A | Address | 域名指向 IPv4 地址 | example.com. IN A 93.184.216.34 |
| AAAA | Quad A | 域名指向 IPv6 地址 | example.com. IN AAAA 2606:2800:220:1:: |
| CNAME | Canonical Name | 域名别名(指向另一个域名) | www.example.com. IN CNAME example.com. |
| MX | Mail Exchange | 邮件服务器地址 | example.com. IN MX 10 mail.example.com. |
| TXT | Text | 文本记录(SPF/DKIM 验证) | example.com. IN TXT "v=spf1 include:_spf.example.com ~all" |
| NS | Name Server | 域名服务器地址 | example.com. IN NS ns1.example.com. |
| PTR | Pointer | IP 反向解析(IP → 域名) | 34.216.184.93.in-addr.arpa. IN PTR example.com. |
| SOA | Start of Authority | 区域授权信息 | 包含主服务器、刷新间隔等 |
| SRV | Service | 服务定位记录 | _http._tcp.example.com. IN SRV 0 5 80 web.example.com. |
| CAA | Certification Authority Authorization | SSL 证书授权 | example.com. IN CAA 0 issue "letsencrypt.org" |
MX 优先级
MX 记录有优先级数值(0-65535),数值越小优先级越高:
example.com. IN MX 10 mail1.example.com.
example.com. IN MX 20 mail2.example.com.邮件发送时会优先尝试优先级最高的服务器,若失败则尝试下一个。
SPF 记录详解
SPF(Sender Policy Framework)防止邮件伪造:
# 允许 example.com 的邮件服务器发送邮件
v=spf1 include:_spf.example.com ~all
# 说明:
# v=spf1 - SPF 版本
# include:_spf.example.com - 引用 _spf.example.com 的 SPF 规则
# ~all - 其他来源标记为软失败(可改为 -all 硬失败)全球公共 DNS 服务
一、全球通用 DNS / Anycast 服务
面向全球用户提供服务的 Anycast 公共 DNS,在多个大洲部署节点。
| 名称 | IPv4 | IPv6 | 特点 |
|---|---|---|---|
| Google Public DNS | 8.8.8.8、8.8.4.4 | 2001:4860:4860::8888、2001:4860:4860::8844 | 全球最广泛使用,节点覆盖全球,稳定性极高 |
| Cloudflare DNS (1.1.1.1) | 1.1.1.1、1.0.0.1 | 2606:4700:4700::1111、2606:4700:4700::1001 | 极快、强隐私保护,多区域节点 |
| Quad9 | 9.9.9.9、149.112.112.112 | 2620:fe::fe、2620:fe::9 | 基于威胁情报的恶意域名过滤 |
| OpenDNS (Cisco) | 208.67.222.222、208.67.220.220 | 2620:119:35::35、2620:119:53::53 | 企业级 DNS,可自定义过滤规则 |
| CleanBrowsing DNS | 安全:185.228.168.9、185.228.169.9;成人过滤:185.228.168.10、185.228.169.11 | 无 | 面向家庭与学校的内容过滤 |
| Comodo Secure DNS | 8.26.56.26、8.20.247.20 | 无 | 恶意网站与钓鱼网站过滤 |
| Neustar UltraDNS | 64.6.64.6、64.6.65.6 | 无 | 企业级 DNS,高可靠性 |
| Verisign Public DNS | 64.6.64.6、64.6.65.6 | 无 | 高可靠性,不记录查询隐私 |
| Dyn DNS (Oracle) | 216.146.35.35、216.146.36.36 | 无 | Oracle 提供,性能稳定 |
| OpenNIC | 不固定 | 不固定 | 社区运营,去中心化 |
| SafeDNS | 195.46.39.39、195.46.39.40 | 无 | 家长控制与内容过滤 |
二、中国大陆 DNS
中国区 DNS 延迟低、与国内网站兼容性好。
| 名称 | IPv4 | IPv6 | 特点 |
|---|---|---|---|
| AliDNS(阿里) | 223.5.5.5、223.6.6.6 | 2400:3200::1、2400:3200:baba::1 | 国内访问速度极快 |
| DNSPod(腾讯) | 119.29.29.29、182.254.116.116 | 2402:4e00:: | 智能解析,对中国网络优化 |
| 360 安全 DNS | 101.226.4.6、218.30.118.6 | 2400:8800:1::6、2400:8800:2::6 | 恶意网站过滤 |
| 百度 DNS | 180.76.76.76 | 无 | 国内解析速度极快 |
| OneDNS | 117.50.10.10、52.80.52.52 | 2400:7fc0::10、2400:7fc0::14 | 防污染、恶意拦截 |
| CNNIC SDNS | 1.2.4.8、210.2.4.8 | 无 | 国家级公益 DNS |
| 清华 TUNA DNS | 101.6.6.6 | 2001:da8::666 | 教育网高质量解析 |
| 北京邮电大学 BUPT DNS | 202.204.176.2 | 无 | 教育科研网络 |
| 中科大 USTC DNS | 202.141.160.95、202.38.93.153 | 无 | 科研网络表现优秀 |
| 上海交大 DNS | 202.120.2.101 | 无 | 教育科研场景 |
| 中国电信 DNS | 114.114.114.114、222.222.222.222、202.96.128.86 | 无 | 兼容性高,延迟低 |
| 中国联通 DNS | 123.125.81.6、202.106.0.20 | 无 | 北方用户常用 |
| 中国移动 DNS | 211.137.191.26、211.138.180.2 | 无 | 移动宽带及手机网络 |
三、俄罗斯 DNS
| 名称 | IPv4 | IPv6 | 特点 |
|---|---|---|---|
| Yandex DNS | 77.88.8.8、77.88.8.1、77.88.8.88、77.88.8.7 | 2a02:6b8::feed:0ff | 基础/安全/家庭多种过滤模式 |
| AdGuard DNS | 94.140.14.14、94.140.15.15、94.140.14.15 | 2a10:50c0::ad1 | 强广告过滤与隐私保护 |
| SafeDNS(Russia) | 195.46.39.39、195.46.39.40 | 无 | 家长控制 |
| КОМИТЕТ DNS | 95.213.236.52 | 无 | 注重隐私保护 |
| Digital Fortress DNS | 80.67.169.12、80.67.169.40 | 无 | 支持 DNSSEC |
四、日本 DNS
| 名称 | IPv4 | IPv6 | 特点 |
|---|---|---|---|
| NTT Communications DNS | 129.250.35.250、129.250.35.251 | 无 | 日本最大运营商 |
| IIJ DNS | 203.181.14.1、203.181.14.2 | 无 | 日本老牌高性能 ISP |
| SoftBank DNS | 210.175.1.1、210.175.255.106 | 无 | SoftBank 用户常用 |
| KDDI / AU DNS | 121.3.0.100、121.3.0.101 | 无 | 日本三大电信之一 |
| Sony Network DNS | 202.238.95.68 | 无 | 游戏与多媒体服务表现良好 |
五、德国 DNS
| 名称 | IPv4 | IPv6 | 特点 |
|---|---|---|---|
| DNS.Watch | 84.200.69.80、84.200.70.40 | 2001:1608:10:25::1c04:b12f | 德国知名无日志 DNS |
| Digitalcourage DNS | 46.182.19.48、192.71.228.234 | 2a00:13c7:0:6::2 | 欧洲隐私协会运营 |
| Telekom Germany DNS | 194.25.0.60、194.25.0.68 | 无 | 德国最大 ISP |
| Vodafone Germany DNS | 139.7.30.125、139.7.30.126 | 无 | 欧洲大型运营商 |
| 1&1 IONOS DNS | 212.227.123.16 | 无 | 网站托管巨头 |
六、韩国 DNS
| 名称 | IPv4 | IPv6 | 特点 |
|---|---|---|---|
| KT(Korea Telecom) | 168.126.63.1、168.126.63.2 | 无 | 韩国最常用 ISP |
| SK Broadband | 210.220.163.82 | 无 | 大型宽带提供商 |
| LG U+ DNS | 164.124.101.2 | 无 | LG 集团运营 |
| KRNIC | 203.248.252.2 | 无 | 韩国网络信息中心 |
| Hanaro / Dacom | 168.126.5.2、168.126.5.1 | 无 | 老牌 ISP |
七、印度 DNS
| 名称 | IPv4 | IPv6 | 特点 |
|---|---|---|---|
| Jio DNS(Reliance Jio) | 49.44.111.15、49.44.111.20 | 无 | 印度最大运营商 |
| Airtel DNS | 125.22.47.125、202.56.215.54 | 无 | 印度覆盖最广的 ISP |
| BSNL DNS | 218.248.255.212 | 无 | 国营运营商 |
| Hathway ISP DNS | 202.88.131.90 | 无 | 城市宽带常用 |
| ACT Fibernet DNS | 202.83.20.20 | 无 | 高速宽带供应商 |
八、英国 DNS
| 名称 | IPv4 | IPv6 | 特点 |
|---|---|---|---|
| Nominet UK Public DNS | 213.248.184.1、 213.248.184.2 | 无 | 英国国家域名机构 |
| BT Broadband DNS | 194.72.0.98、62.6.40.178 | 无 | 英国最大 ISP |
| Virgin Media DNS | 194.168.4.100、194.168.8.100 | 无 | 大型 ISP |
| Sky Broadband DNS | 90.207.238.97、90.207.238.99 | 无 | 卫星电视集团 |
| TalkTalk DNS | 79.79.79.79、79.79.79.80 | 无 | 家庭网络用户较多 |
九、法国 DNS
| 名称 | IPv4 | IPv6 | 特点 |
|---|---|---|---|
| FDN DNS | 80.67.169.12、80.67.169.40 | 2001:910:800::12、2001:910:800::40 | 法国最知名无日志 DNS |
| FreeDNS(Free ISP) | 212.27.40.240、212.27.40.241 | 无 | 大型运营商 |
| Orange France DNS | 80.10.246.3、81.253.149.6 | 无 | 法国最大 ISP |
| Bouygues Telecom DNS | 194.158.122.10、194.158.122.15 | 无 | 主流宽带运营商 |
| SFR DNS | 109.0.66.10、109.0.66.20 | 无 | 覆盖法国全境 |
十、其他国家
| 国家 | 名称 | IPv4 | 特点 |
|---|---|---|---|
| 意大利 | Telecom Italia (TIM) | 85.37.17.11、85.38.28.86 | 意大利最大运营商 |
| 西班牙 | Telefonica / Movistar | 80.58.61.250、80.58.61.254 | 西班牙最大运营商 |
| 荷兰 | Surfnet DNS(教育科研) | 145.100.185.15、145.100.185.16 | 高校与科研机构 |
| 瑞典 | Bahnhof DNS | 79.136.96.1、79.136.97.1 | 注重隐私,无日志 |
| 加拿大 | Rogers DNS | 64.71.255.202、64.71.255.198 | 加拿大最大 ISP |
| 巴西 | GigaDNS | 189.38.95.95、189.38.95.96 | 巴西最流行民用 DNS |
| 新加坡 | Singtel DNS | 165.21.83.88、165.21.100.88 | 新加坡最大运营商 |
| 澳大利亚 | Telstra DNS | 139.130.4.4、139.130.5.5 | 澳洲最大运营商 |
| 墨西哥 | Telmex / Infinitum | 200.33.146.193、200.33.146.209 | 墨西哥最大 ISP |
| 阿联酋 | Etisalat DNS | 194.170.1.5、194.170.1.6 | 阿联酋最大 ISP |
| 南非 | OpenWeb DNS | 196.41.6.28、196.41.6.29 | 本地 ISP DNS |
DNS 安全机制
DNSSEC
DNS 安全扩展(DNSSEC)通过数字签名验证 DNS 响应的真实性,防止 DNS 欺骗和缓存投毒攻击。
bash
# 检查域名是否启用 DNSSEC
dig +dnssec example.com DNSKEY
# 验证 DNSSEC 签名
dig @8.8.8.8 example.com +dnssec启用 DNSSEC 后,域名会包含:
| 记录类型 | 用途 |
|---|---|
| DNSKEY | 存放公钥,用于验证签名 |
| RRSIG | 资源记录的数字签名 |
| DS | 委托签名,记录子域名的密钥哈希 |
| NSEC/NSEC3 | 否定证明,证明某个记录不存在 |
DoH (DNS over HTTPS)
DNS over HTTPS 通过 HTTPS 协议加密 DNS 查询,防止中间人攻击和 DNS 监控。
javascript
// 使用 DoH API
fetch('https://cloudflare-dns.com/dns-query?name=example.com&type=A', {
headers: { 'Accept': 'application/dns-json' }
})
.then(response => response.json())
.then(data => console.log(data));常见 DoH 端点:
| 服务商 | DoH 端点 |
|---|---|
| Cloudflare | https://cloudflare-dns.com/dns-query |
https://dns.google/dns-query | |
| Quad9 | https://dns.quad9.net/dns-query |
DoT (DNS over TLS)
DNS over TLS 通过 TLS 协议加密 DNS 查询,提供与 DoH 相似的安全性。
bash
# 使用 DoT
nslookup -type=TLS _dns.google常见 DoT 端点:
| 服务商 | DoT 主机名 | 端口 |
|---|---|---|
| Cloudflare | one.one.one.one | 853 |
| dns.google | 853 | |
| Quad9 | dns.quad9.net | 853 |
ODoH (Oblivious DoH)
Oblivious DNS over HTTPS 是一种新型协议,通过分离加密层和查询位置来增强隐私:
客户端 → 加密查询 → 中转代理 → DNS 服务器
↑ ↓
└──────── 加密响应 ─────┘DNS 防火墙与过滤
| 服务 | 功能 | 适用场景 |
|---|---|---|
| Pi-hole | 本地 DNS 过滤,自建广告拦截 | 家庭网络 |
| AdGuard Home | 全平台 DNS 过滤,支持自定义规则 | 家庭/小型办公室 |
| NextDNS | 云端 DNS 过滤,可自定义规则和统计 | 个人/企业 |
| Control D | 高性能 DNS 过滤,支持恶意域名拦截 | 多设备用户 |
常见问题
Q: 如何测试当前 DNS 是否工作?
bash
# 使用 nslookup
nslookup example.com
# 使用 dig
dig example.com
# 使用 drill(类 Unix 系统)
drill example.com
# Windows 系统
nslookup -type=any example.comQ: 如何更改系统的 DNS 服务器?
Windows:
控制面板 → 网络和共享中心 → 更改适配器设置
→ 右键网络连接 → 属性 → IPv4 → 使用以下 DNS 服务器地址macOS:
系统偏好设置 → 网络 → 高级 → DNS → 添加 DNS 服务器Linux:
bash
# 编辑 /etc/resolv.conf
nameserver 8.8.8.8
nameserver 1.1.1.1Q: 为什么 DNS 解析缓慢或失败?
- DNS 服务器故障 — 尝试更换其他 DNS 服务商
- 本地缓存问题 — 清除浏览器缓存和系统 DNS 缓存
- TTL 设置过长 — DNS 记录缓存时间过长导致更新延迟
- 网络问题 — 检查防火墙或路由器设置
- 域名过期 — 确认域名是否在有效期内
Q: 如何查看域名的详细 DNS 信息?
bash
# 查看所有记录
dig example.com ANY +short
# 查看完整响应(包括 TTL)
dig example.com ANY
# 使用在线工具
# https://dnsdumpster.com/
# https://toolbox.googleapps.com/apps/dig/Q: CDN 对 DNS 解析有什么影响?
CDN 会通过 DNS 智能解析将用户导向最近的边缘节点:
- 用户请求
example.com - DNS 返回最近的 CDN 节点 IP
- 用户从该节点获取内容
这会影响到:
- TTL 设置 — CDN 的 TTL 通常较短,便于快速切换节点
- 地理位置 — DNS 解析结果会因用户所在地区而不同
- Anycast — 同一 IP 地址在不同地区可能路由到不同的服务器
📌 提示:更多 DNS 相关工具和查询方法,请访问 IPinfo 等在线 DNS 查询平台。