NextDNS ( https://nextdns.io/ ) https://i.imgur.com/SlbFPsf.png 是這一兩年新推出的新形態 DNS 服務，同時支持傳統的非加密 DNS 查詢和加密型的 DNS-over-TLS ( DOT ) 或 DNS-over-HTTPS ( DOH ) ，未來應該還有機會支持目前還在 草案中的加密型的 DNS-over-QUIC ( DOQ ) 。傳統的 DNS 查詢服務並沒有阻擋廣告和追 蹤的功能， NextDNS 是透過使用者預先啟用的阻擋規則，在使用者這端發出 DNS 查詢請 求時，若遇到和規則相符合的域名 ( domain ) 查詢則回應未指定位址（ 0.0.0.0 或 :: ），藉以達到擋廣告和追蹤的功能，不在阻擋名單上的查詢則會放行做正常的 DNS 查詢回應。這也是目前使用 DNS 過濾 ( e.g. 自建 AdGuard Home 或企業內部 DNS 過濾 ) 的運作模式。 點擊立即體驗則可以進到 NextDNS 的管理頁面，如下圖。 https://i.imgur.com/3uCdCmR.png 頁面上方有提示 此臨時帳戶將在 7 天到期並只能通過此瀏覽器瀏覽。立即免費註冊來 儲存您的設定。 建議先註冊來儲存我們後續所做的設定。 https://i.imgur.com/hDAcriQ.png 免費用戶提供每個月 30 萬筆資料的 DNS 查詢額度。 30 萬筆的額度，若是輕度網路使 用者 ，每個月也夠用了。但若是每個月額度使用完畢，則還是會繼續提供 DNS 查詢服 務，不過就不具有擋廣告和追蹤功能了。 付費用戶則是具有無限的 DNS 查詢服務額度。 https://i.imgur.com/c3rlGtf.png 註冊完畢後，可以進 https://my.nextdns.io/ ，開始做進一步的設定。原本一開始系統 預設的設定檔名為 我的第一個設定檔 。若要更改設定檔名稱可以進右邊設定 ( settings ) 選項頁面做更改。 https://i.imgur.com/TMsdrOA.png 設定 ( settings ) 裡面有幾個比較重要的設定稍微做解釋一下: 記錄檔: 預設是啟用記錄檔，就是記錄你 DNS 查詢記錄。這部分最大的用途是當發現有些你非訪 問不可 ( 當然是要確定是正常的網站 ) 或是因為被擋廣告而造成 網站 / APP / 服務 閱覽有問題時，就需要去翻看記錄檔，看是那一個 domain 被擋住，把它加入白名單後再 訪問即可。 在隱私設定部分，可以只勾選 記錄域名 這個選項即可。記錄檔保留可設定 最短保留 1 小時，最長保留到 2 年 ( 預設是 3 個月 )。資料儲存位置可以選擇美國 ( 預設 )，歐盟，英國，瑞士 ( 有嚴格的隱私權保護法律，建議選這個位址 )。值得注 意的是更改記錄檔儲存位置會清除之前已儲存的記錄檔資訊，建議一開始就設定好。 響應修改: https://i.imgur.com/OoZVrwK.png 就是所謂的 DNS 複寫 ( 汙染 )。可以將指定的 domain，強制指定已知的 IP 位址。 e.g. 強制將 Apple 相關的 server 位址指向台灣的 CDN ，避免 DNS 解析到國外的 CDN 位址，造成人在台灣卻連到國外的 server ，造成連線下載速度緩慢。值得注意的是 目前這個響應修改只能新增和刪除，無法對已添加的響應修改做編輯。 左邊的設定 ( setup ) 頁面 https://i.imgur.com/8wLG4SK.png 基本上是給予有關你這個設定檔裡面 NextDNS 的設定方法和資訊。 NextDNS 提供非常多 裝置的安裝方法和說明。這是令人激賞的一點。 像 Apple 在 iOS14 後原生支持 DOH 或 DOT，網頁就有提供描述檔生成器。下載回來安裝完就可以使用，非常方便。其他設定方 法看頁面底下的教學就滿清楚了，這邊就不多做贅述。 端點: 比較重要的資訊是 ID ，它就是你這個設定檔的特殊的代碼，任何人只要知道這個 ID ， 以 DOH 來說就可以用 http://dns.nextdns.io/ID，來使用你的這個 NextDNS 設定檔的 服務。 識別您的設備: 這是我覺得 NextDNS 一個滿有趣的設定，可以用在 DOT 或 DOH 。以 DOH 來說，若是手 機的 DOH 設定為 https://dns.nextdns.io/ID/IPHONE ，在統計和記錄檔部分就可以單 獨篩選觀看手機 ( IPHONE ) 的記錄。 安全 ( security ) 頁面: https://i.imgur.com/6Qq1mBM.png 基本上使用預設的即可。但也可以自行評估封鎖停放網域，阻止新註冊的域（NRD）， DNS 重新綁定攻擊保護，這三個選項要不要啟用。 隱私 ( privacy ) 頁面: https://i.imgur.com/BzBdNLQ.png 阻止列表: 預設只有啟用 NextDNS 推薦的廣告和跟蹤器阻止列表 ，可以按下添加阻止列表加入一些 知名有被 NextDNS 收錄的規則列表 ( e.g. AdGuard DNS filter, Steven Black, AdGuard Mobile Ads filter, NSABlocklist, AdGuard Tracking Protection filter, AdGuard Base filter, 280blocker )。值得注意的是 NextDNS 目前不予許使用者使用自 訂的規則清單，他們解釋最大的原因是自訂的規則清單若是格式不正確則可能會造成 DNS 服務有問題，因此不予許使用自訂的規則清單，但可以上 Github 提 issues 建議收 錄知名有維護的規則清單。 這是我覺得滿可惜的一點。 深度追蹤保護: https://i.imgur.com/9GNsi7l.png 這是一個目前還在測試中的系統層級的防追蹤選項，e.g. 如果選擇添加小米，則會阻止 來自小米設備 ( 手機和平板電腦、智慧型電視、路由器 ) 的追蹤。請自行斟酌要不要啟 用這項功能。 家長控制 ( parentalcontrol ) 頁面: https://i.imgur.com/KNj9avs.png 這部分就是專門設定給家長使用防止未成年人接觸到不該接觸到的網路資訊或服務，但因 為是設定完後是對該設定檔實施全域設定。所以建議要開啟這項功能，可以另外創建新的 設定檔，給未成年人的設定為獨立的設定檔，避免干擾。 黑名單 ( denylist ) 頁面: https://i.imgur.com/NUU32GI.png 在此頁面添加的 domain ，將會被阻擋。只能添加和刪除，無法對已添加到黑名單的 domain 做修改。 白名單 ( allowlist ) 頁面: https://i.imgur.com/zVZ7bCe.png 在此頁面添加的 domain ，將不會被阻擋。只能添加和刪除，無法對已添加到白名單的 domain 做修改。 統計 ( analytics ) 頁面: https://i.imgur.com/RT63SGI.jpg 在此頁面可以看到固定時間內 ( 最短過去 30 分鐘 ; 最長過去 3 個月 ; 預設是過去 30 天 ) 這個設定檔裡所有的設備或單一設備的 NextDNS 使用狀況資訊，包含查詢數 / 被阻止的查詢 / 被阻止的查詢 ( % ) 等資訊。 記錄檔 ( logs ) 頁面: https://i.imgur.com/Db86rxp.jpg 在此頁面可以看到這個設定檔裡所有的設備或單一設備的 NextDNS 查詢記錄，如果查詢 記錄是被阻擋的，就會在查詢記錄的左邊出現紅色的線條 ( 如上圖 ) ，點擊右邊的 ! 圖示則會有相關資訊出來告訴你是被那些你設定的阻擋清單給阻擋了。可以搭配白名單或 黑名單功能來簡易客製化自己的阻擋或允許規則。 實際使用心得: 在擋廣告和防數位追蹤方面表現出色，同時也不需要負擔 server 建置成本和風險。但有 些網頁元素是無法靠 DNS 過濾達到去廣告目的，這時可搭配 Adguard 軟體的網頁過濾規 則，來更進一步阻擋廣告或防數位追蹤。而 NextDNS 一直以來為人詬病的 routing 問題 ，目前官方也有提供 ultralow 或 anycast 的方法做解決。目前台灣只能用 ultralow 的 server。 而官方目前指出只有使用 DOH 或 DOT 或使用官方 APP 的使用者會才能有 這項服務更新 (使用 NextDNS CLI 也有，但不在本文分享範圍內)。 官方還是有些地方需要努力改善，但整體來說，對稍微進階的使用者會是個不錯的選擇。 -- ※ 文章網址: https://www.ptt.cc/bbs/AdBlock/M.1617157387.A.4E1.html ※ 編輯: l98 (59.127.250.5 臺灣), 03/31/2021 10:24:47