作为一款流行的本地 DNS 服务器，AdGuardHome 的上游 DNS 配置直接影响到网络体验。今天我们就来聊聊如何优化这个关键环节。

为什么需要自定义上游 DNS

默认配置往往使用运营商 DNS，这会带来几个明显问题：

• 解析速度慢，特别是访问境外网站时
• 可能遭遇DNS污染或劫持
• 缺乏加密导致隐私泄露风险
• 没有智能路由，无法根据网络环境优化

上游 DNS 协议选型

目前主流的加密 DNS 协议有 DoH(HTTPS) 和 DoT(TLS)，它们各有特点：

1. DoH (DNS over HTTPS)
2. 优点：使用443端口，难以被识别和封锁

3. 缺点：需要完整的HTTPS握手，延迟稍高

4. DoT (DNS over TLS)

5. 优点：专门的853端口，延迟较低

6. 缺点：端口特征明显，可能被干扰

7. 传统DNS

8. 仅建议作为备用方案，或在内网环境使用

实战配置示例

下面是一个生产环境可用的配置片段：

upstream_dns:
  - https://1.1.1.1/dns-query  # Cloudflare DoH
  - tls://8.8.8.8             # Google DoT
  - 114.114.114.114          # 国内备用
  - https://doh.opendns.com/dns-query

upstream_dns_file: ""

bootstrap_dns:
  - 9.9.9.9
  - 149.112.112.112

关键点说明：

• 将延迟最低的DNS放在最前面
• 混合使用不同提供商的DNS提高可用性
• bootstrap_dns用于初始解析DoH/DoT服务器

性能优化技巧

1. 基准测试 使用dnsperf工具测试不同DNS的响应速度：

   dnsperf -d queries.txt -s 1.1.1.1 -c 10

2. EDNS调优 在配置中启用EDNS客户端子网：

   edns_client_subnet: true

3. 缓存设置 根据网络环境调整缓存时间：

   cache_size: 4000
   cache_ttl_min: 600
   cache_ttl_max: 86400

安全防护配置

1. 防止DNS泄漏

   filtering:
     protection_enabled: true
     blocking_mode: nxdomain

2. 启用DNSSEC

   dnssec:
     enabled: true
     validation: true

常见问题解决

1. 国内ECS问题 部分国内ISP会丢弃EDNS信息，可以关闭EDNS或使用国内DNS作为备用

2. DNS不可用检测 AdGuardHome自带健康检查，但建议额外配置：

   all_servers: true
   fastest_addr: true

开放思考

随着网络环境变化，静态DNS配置可能不够灵活。如何设计一个能动态评估DNS服务器质量（延迟、可用性、准确性）并自动调整权重的智能路由系统？这可能是下一步的优化方向。

希望这篇指南能帮助你打造更快更安全的上游DNS配置。如果有其他优化技巧，欢迎在评论区分享讨论！