在发觉阿里 DNS 的解析结果变难用以前,我在代理软件里一直用的阿里 DoQ 用于解析直连域名和分流。btw 我现在改用除白名单外全部远程解析的配置了,希望评论区别跑题指责我该不该用分流配置的事。
后来我发现阿里 DNS 除了快以外毫无优点,主要问题如下:
- 会把某些国外域名污染成包含但不限于国内 IP 、127.0.0.1 、0.0.0.0 等非境外 IP 的结果*,甚至直接超时
- 对 Apple 直连域名如 CDN 、外区 iCloud / Facetime 、App Store 等返回遙远的 IP ;腾讯 DoH 返回的是预期的香港 IP
- 对腾讯系的国内域名,例如微信公众号资源地址,返回不可用的结果
- 对网易系、小红书域名返回不可用的结果或超时
- 速率限制敏感,在家宽大内网等多用户环境动不动就达到上限,有时移动数据也会
基于以上理由,我现在已几乎弃用阿里公共 DNS ,仅将 223.5.5.5 / 223.6.6.6 和 119.29.9.29 共同作为查 DoH 域名或 DoH 不可用时的 fallback 选项。
*: 以往 GFW 只会将黑名单污染成国外 IP ,即使结果是错的也不影响分流效果;但没返回或返回国内 IP 就会有问题。
第 1 条附言 · 2 天前
记得 7 、8 年前那会国内 DNS 还百花齐放的,除了阿里、dnspod 还有信风 114 、百度 dns 等和各高校的 dns 可以用;不说都好用吧,至少选择多。自从国内 dns 改成需要牌照以后…
第 2 条附言 · 2 天前
2021 年以前的代理软件很依赖 ip 分流后再按域名二次分流的逻辑,因此可靠的 dns 很重要。现在的代理软件都直接按域名列表走,不需要在本地先请求后分流了。对已经改用新软件或新配置的人来说没有多大影响,但对本来旧软件用得好好的人,结果因为阿里 dns 的服务降级导致体验降级,着实难受。我国程序员本不应 suffer 这么多。
 |
1
totoro625 2 天前  2
我的解决办法:
自建 DNS 分流 1 、国外域名指向 CF 、Google 等 DOH 2 、Apple 国内部分指向腾讯阿里 360 等 DOH ,并发 Apple 国外部分指向 CF 、Google 等 DOH 不必强求国外 DOH 返回香港 IP ,都走代理了,距离无所谓 个人偏爱美国本土资源 3 、腾讯系请使用腾讯 DOH ,同问题 4 4 、部分派系 app 推荐使用母公司的 DOH ,酌情考虑使用运营商 DNS 目前遇到很多 app 分省份解析到不同的边缘节点,甚至屏蔽省外链接 部分 DOH 不支持 EDNS ,而是根据请求的 IP 作为 EDNS IP ,需要注意请求 DOH 是否走的直连 5 、增加本地缓存,如 adguardhome 开启乐观缓存 多开几个号使用付费版 doh 的免费额度( 100w 次) |
 |
2
johnnyhao 2 天前 via iPhone
所以改用哪个了
|
 |
3
ZColin 2 天前
CNNIC 那个 DNS ( 1.2.4.8,210.2.4.8 )质量如何?
|
 |
4
peasant 2 天前 via iPhone
官网没有任何 DoQ 的描述,所以这玩意儿其实不算正式支持,也许还在测试阶段,另外阿里的 DNS 很遵守当地的要求,就比如江苏反诈污染的域名,阿里也会污染,其它地区不会,你可以试试其他地区解析你发现问题的域名看看结果正常不
|
|
5
peasant 2 天前 via iPhone
@totoro625 我试过腾讯系走 doh.pub ,结果这玩意儿查询自家域名耗时比国外的 DNS 还高,而且我还发现会有查询失败的情况,简直离谱,还是送 300 万次 1 次 DoH 算 8 次的,真拉啊,没办法又换回阿里了
|
 |
6
colinlikepotatos 2 天前
早发现了。上个月开始 三个电脑多开几个网页就触发限速。导致打开网页非常慢。以及弃用了。之前没有什么问题的。可能是成本太高了吧。不过很多不懂电脑的,以前被朋友配置了的人就很难受。找不到原因
|
|
7
totoro625 2 天前 1
@peasant #5 腾讯确实拉跨,我甚至被这个 8 倍计费坑掉十几块钱
之前还发生过腾讯云的网站用腾讯 doh 打不开的情况(解析返回一个错误的 IP ) 我现在只有腾讯 QQ 和微信全部走腾讯 doh ,其他的都是腾讯阿里 360 等 DOH ,并发 |
 |
8
jiawei26 2 天前 1
国内域名用运营商 DNS ,其他域名一律使用 tls://8.8.4.4:853 。目前使用体验良好。
|
 |
9
Seck 2 天前 via Android 3
没钱了,正常,国内的互联网基础设施有越来越差!
必然结果 最大网站是百度,你敢信? 连新华字典这个通过社科院,大家交税建立的社会性基础设施,一个族群生存文明语言的基础定义,百度搜索,第一页没有! 打架可以去谷歌,任何一个中文词汇,加字典 前五个之内没有出现繁体以及简体 TW 标准国家级字典,官方字典我吃屎! 就那个字典网站,网址, edu TW 网站格式, 够够新华字典学一辈子! 百度第一页,百度词典! 百度敢定义文字,词义,确实够恐怖,文明的基石被一个公司定义,什么美丽新世界的恐怖故事! |
 |
11
yyysuo 2 天前
你这好歹每条举个例子呢。
|
 |
12
jhytxy 2 天前 via iPhone
买个 n1 ,局域网里跑个 paopaodns
|
 |
13
daisyfloor 2 天前
反正国内只用 udp 查询,不用 doh 或 dot ,我选中运营商 DNS
|
 |
14
sayemike 2 天前
我这看起来正常使用, 阿里、腾讯 DOH 作为 AdGuard Home 上游 DNS ,开启了 ECS ( EDNS ),ADG 作为路由器上游 DNS ,解析 apps.apple.com 返回本市 IP
开启乐观缓存,没碰到被限的情况 |
 |
17
383394544 OP @yyysuo #11
1. google.com, github.com 2. *.icloud-content.com, iosapps.itunes.apple.com, bag.itunes.com 3. *.qpic.cn, *.qlogo.cn 4. *.xhscdn.com, *.xiaohongshu.com; 网易系我自己没感觉到,请参考 https://www.v2ex.com/t/1135546#reply24 5. 见本文评论区 #6 |
 |
19
wow0o 2 天前
自建就好了
|
|
20
sayemike 2 天前
容器部署个 ADG 挺好用的,前些时确有遇到过 testipv6 网站一个子域名阿里解析不出来,其它家到正常。过了几天又好了,
|
 |
21
zsj1029 2 天前
垃圾 dns ,好几年前就不用了,动不动就没响应,响应慢
|
|
23
yyysuo 2 天前
@383394544
1:这个污染很正常,每个国内 dns 都一样。 2:试了一下 edge-113.hkhkg2.icloud-content.com ,返回了 17.248.152.6 香港 ip 3:试了一下 vpic-cover.puui.qpic.cn ,返回的 IP 有 119.167.249.90 ,对我来说是省内 ip 4:试了一下 apm-fe.xiaohongshu.com ,返回的 ip 是 43.142.215.99 ,没什么问题。 5:建议注册个阿里云的免费账号,1000 万的额度也勉强够用了,无法验证你提到的 ip 不可用的问题。 |
|
26
383394544 OP @yyysuo #23
1. 不是污染的问题,是它不讲武德污染成国内 IP 的问题。以往通常会污染成 facebook 的 ip ,不至于让代理软件抽风。(当然现在的代理软件为了应对这种情况早就不用以前的逻辑了,受影响的只有仍在使用旧客户端的用户) 2. 你试下 gateway.icloud-content.com ,这个域名有时会解析到美国,然后就不会分配 hkg 开头的 cdn 。 3. 4. 现在是好的不代表一直稳定,反正我的经验里只要阿里发作的时候就直接拉闸。 5. 感谢建议,我现在已经转向自建 doh 了。 |
|
30
383394544 OP @cubecube #28 所以现在肯定不能依赖阿里 dns 的结果进行分流,但它至少在解析国内域名的时候得可靠点吧,现在的阿里 dns 快要和 114 差不多了。
|
|
32
yyysuo 2 天前
@383394544 哦,我倒是没发现污染成国内 ip 的情况,因为有域名列表,只有列表外的需要 223 解析判断一下,暂时没发现问题; gateway.icloud-content.com 是 NXDOMAIN 啊,223 和 8888 都是。
|
|
34
383394544 OP @yyysuo #32 抱歉笔误,应为 gateway-asset.icloud-content.com
|
|
35
383394544 OP @cubecube #33 所以这篇说的主要是阿里 dns 解析国内域名时的问题。现在国内域名尤其是涉及 cdn 的,直接无脑用运营商 dns 反而结果更好。
|
 |
36
fanxasy 2 天前
在代理软件中将域名规则放在前,ip 规则放在后,判断到国外域名直接走境外节点解析了,轮不到阿里 DNS 解析,所以第一点问题无所谓
|
 |
37
wkingnet 2 天前
1. 首先用国内 DNS 解析服务器+解析国内域名+用 doh/dot/doq ,都是毫无意义的浪费时间。该污染还是污染,反而因为这些加密协议增加解析时间。
2. 你用阿里没有明确支持的 doq 协议,所以出现各种各样的问题都是有可能的。 ``` C:\Users\king λ dog vpic-cover.puui.qpic.cn @223.5.5.5 CNAME vpic-cover.puui.qpic.cn. 29s "vpic-cover.puui.qpic.cn.cdn.dnsv1.com.cn." CNAME vpic-cover.puui.qpic.cn.cdn.dnsv1.com.cn. 9m02s "pxeguchm.sched.sma-dk.tdnsstic1.cn." A pxeguchm.sched.sma-dk.tdnsstic1.cn. 11s 118.183.60.184 A pxeguchm.sched.sma-dk.tdnsstic1.cn. 11s 110.157.246.202 C:\Users\king λ dog vpic-cover.puui.qpic.cn @119.29.29.29 CNAME vpic-cover.puui.qpic.cn. 1m00s "vpic-cover.puui.qpic.cn.cdn.dnsv1.com.cn." CNAME vpic-cover.puui.qpic.cn.cdn.dnsv1.com.cn. 9m33s "pxeguchm.sched.sma-dk.tdnsstic1.cn." A pxeguchm.sched.sma-dk.tdnsstic1.cn. 1m00s 118.183.60.184 A pxeguchm.sched.sma-dk.tdnsstic1.cn. 1m00s 110.157.246.202 ``` |
 |
38
LonelyWenti 2 天前 via iPhone
可能是阿里之前裁员真的裁到大动脉上了,新来的人没几个懂的,连维护都不会做了
|
 |
40
mytsing520 2 天前
gateway-asset.icloud-content.com ,我在国内强制 223.5.5.5 拨测了一下,没有遇到指向美国 CDN 的情况,目前是直接指向苹果自己的 IP 上
这个域名做了一层 CNAME 地址到 gateway-asset.ce.apple-dns.net ,这个域名的解析由 AWS Route 53 控制 @383394544 |
 |
41
xiaozecn 2 天前
官网显示的节点变少了。
 |
|
42
mytsing520 2 天前
@xiaozecn
223.5.5.5 是任播 IP ,但是,任播入口是阿里云自己的公有云机房,这里的覆盖和阿里云的公有云机房所在地高度重合;腾讯也是一样;如果是 CDN 的省份精确度,要看 DNS 出口,毕竟权威 DNS 那边通常看出口 IP 所在地来做智能解析(添加 client_subnet 识别的另说)。 我在华东这片,前几天测试了一下 223.5.5.5 和 119.29.29.29 在华东这片的覆盖情况,发现 223.5.5.5 在这片区域每个省份都是三大运营商覆盖,而 119.29.29.29 的 DNS 出口都集中在上海。腾讯那边的小哥说是因为腾讯在华东只有上海落地,周边省份以前有落地,全部撤了。 |
 |
44
jwxyz1992 2 天前
@peasant 那天 pikpak 死活登不上,排查半天才发现是阿里云的 DOH 的问题,而且好像只有电信有问题,最后还是自建 DNS 搞定,PS 江苏电信是真的恶心
|
 |
47
hiyoi 2 天前
上面已经有答案了,路由器还是 NAS 上跑个 paopaodns , 然后开启分流。
|
 |
48
cj323 2 天前 via iPhone
涨知识了,所以现在国内如果不自建 dns 怎样能尽量避免污染呢。(我不在国内但是腾讯云有个 vps ,就用默认 dns 访问国内资源倒是没感觉出过问题。去年回国用手机蜂窝也没感觉出问题,可能 isp 分配的 dns 也没事?)
|
|
49
cj323 2 天前 via iPhone
另外为啥国内解析国内要用 doh ,有什么需要加密的地方吗?
|
 |
50
pcitme 2 天前
<img src="https://img.ucany.net/files/20250610/68481d41070f7.png" alt="1749556543248.png" title="1749556543248.png" />
如图,AdGuard+阿里专属 DOH+8888 才是绝绝子巨好用 |
Select Language