Melhores DNS publicos
Melhores DNS publicos em 2026: tabela comparativa com Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9, OpenDNS e AdGuard. Velocidade no Brasil, privacidade e filtros.
Melhores DNS públicos para o Brasil em 2026: Cloudflare 1.1.1.1 lidera em velocidade com PoP no IX.br São Paulo (~5-12ms), Google 8.8.8.8 entrega confiabilidade consolidada e Quad9 9.9.9.9 combina privacidade com sede suica e bloqueio automático de malware. A diferença entre eles vai muito além da latência: política de logs, filtragem de ameacas, jurisdicao legal e suporte a DoH/DoT determinam qual e o mais adequado para cada perfil de uso. Compare a tabela completa e veja como configurar o DNS certo pelo artigo como mudar DNS.
| Provedor | IPv4 primário | Filtro | Privacidade |
|---|---|---|---|
| 8.8.8.8 | Nenhum | Logs anonimizados em 24-48h | |
| Cloudflare | 1.1.1.1 | Opcional via 1.1.1.2 (malware) e 1.1.1.3 (family) | Sem logs IP >24h (KPMG) |
| Quad9 | 9.9.9.9 | Malware por padrão (IBM X-Force) | Sem logs, fundacao suica |
| NIC.br | 200.160.0.78 | Nenhum | Entidade brasileira (CGI.br) |
| OpenDNS | 208.67.222.222 | Family Shield (208.67.222.123) | Cisco / EUA |
| AdGuard DNS | 94.140.14.14 | Bloqueia ads/trackers em rede toda | Sem logs identificaveis |
Tabela comparativa: 8 provedores DNS públicos para o Brasil
| Provedor | IPv4 primário | IPv4 secundário | IPv6 primário | Sede | Politica de logs | Filtros | PoP BR | Latencia BR | DNSSEC | DoH / DoT |
|---|---|---|---|---|---|---|---|---|---|---|
| Cloudflare | 1.1.1.1 |
1.0.0.1 |
2606:4700:4700::1111 |
EUA | Sem logs de IP >24h; auditado KPMG anualmente desde 2019 | 1.1.1.1 sem filtro; 1.1.1.2 bloqueia malware; 1.1.1.3 bloqueia malware+adulto | Sim (IX.br SP desde 2017) | ~5-12ms (SP/RJ) | Sim | DoH: cloudflare-dns.com | DoT: 1.1.1.1:853 |
| Google Public DNS | 8.8.8.8 |
8.8.4.4 |
2001:4860:4860::8888 |
EUA | Logs anonimizados em 24-48h; uso interno Google | Sem filtro geral; bloqueia NXDOMAIN malicioso confirmado | Sim (IX.br SP) | ~6-15ms (SP/RJ) | Sim | DoH: dns.google | DoT: 8.8.8.8:853 |
| Quad9 | 9.9.9.9 |
149.112.112.112 |
2620:fe::fe |
Suica (Quad9 Foundation) | Sem logs de IP; lei suica nDSG; auditado Dekra e KPMG | Bloqueia malware por padrao (IBM X-Force, Abuse.ch, CIRCL); 9.9.9.10 sem filtro | Sim (IX.br SP + Fortaleza) | ~8-18ms (SP); ~12-25ms (Nordeste via FOR) | Sim | DoH: dns.quad9.net | DoT: 9.9.9.9:853 |
| OpenDNS (Cisco) | 208.67.222.222 |
208.67.220.220 |
2620:119:35::35 |
EUA (Cisco) | Coleta IP e consultas para telemetria Cisco; plano gratis reten logs | Filtragem por categoria configuravel (painel web); FamilyShield bloqueia adulto | Anycast global; sem PoP BR confirmado | ~12-25ms (BR, depende da operadora) | Sim | DoH disponivel no plano pago |
| AdGuard DNS | 94.140.14.14 |
94.140.15.15 |
2a10:50c0::ad1:ff |
Chipre (AdGuard Ltd) | Sem logs em servidores padrao; GDPR; painel pessoal com logs opcionais | Bloqueia rastreadores e anuncios por padrao; versao Unfiltered disponivel | Sem PoP BR confirmado | ~15-30ms (BR) | Sim | DoH: dns.adguard-dns.com | DoT: dns.adguard-dns.com:853 |
| Mullvad DNS | 194.242.2.2 |
194.242.2.3 |
2a07:e340::2 |
Suecia (Mullvad VPN AB) | Sem logs; sem coleta de dados; auditado Cure53 | Versao sem filtro e versao com bloqueio de anuncios/trackers | Sem PoP BR confirmado | ~20-40ms (BR) | Sim | DoH: dns.mullvad.net | DoT: dns.mullvad.net:853 |
| NextDNS | Personalizado (via conta) |
Personalizado (via conta) |
Personalizado (via conta) |
EUA (NextDNS Inc) | Logs configuraveis (on/off por conta); retencao definida pelo usuario | Configuracao granular: listas de bloqueio, parental control, analytics | Anycast global; latencia depende da regiao e PoP mais proximo | ~10-25ms (BR, anycast) | Sim | DoH e DoT personalizados por conta |
| NIC.br / DNS.br | 200.160.0.78 |
200.160.0.80 |
2001:12ff::8 |
Brasil (Registro.br / NIC.br) | Operado pelo NIC.br; politica BR de protecao de dados | Sem filtro; resolver autoritativo para .br | Sim (servidores no Brasil) | ~2-10ms (BR, servidor local) | Sim | Nao disponivel publicamente |
Latencias medidas de conexões residenciais brasileiras (Vivo, Claro, TIM) em maio/2026. Variam por região, horário e provedor de acesso. Fontes: DNSperf.com, medicoes próprias, documentação pública dos provedores.
Comparativo visual de latência DNS no Brasil (Sudeste)
DNS públicos e o contexto brasileiro
O DNS padrão entregue pelo DHCP do provedor e geralmente o servidor do próprio ISP. Vivo (AS26599), Claro (AS28573), TIM (AS26615) e Oi (AS7738) operam servidores DNS próprios que tendem a ter latência geograficamente baixa, mas frequentemente apresentam cache longo, ausencia de DNSSEC e sem política pública de privacidade.
Ha um detalhe importante que muda o cálculo para usuários brasileiros: decisões judiciais do STF e TRF determinaram bloqueios de plataformas via DNS. Provedores brasileiros cumprem essas ordens no nível do DNS. Ao mudar para um DNS público estrangeiro como Cloudflare ou Google, o assinante pode contornar bloqueios DNS do ISP. Bloqueios determinados em nível de IP ou BGP, no entanto, não são contornados pela simples mudanca de DNS.
O Marco Civil da Internet (Lei 12.965/2014, art. 15) obriga provedores brasileiros a reter registros de conexão por 6 meses. Isso inclui logs de quais IPs fizeram quais consultas DNS. DNS públicos com política de zero-logs (Quad9, Cloudflare) alegam não ter dados para entregar em caso de solicitação judicial, mas a validade juridica dessa alegacao no Brasil ainda e pouco testada nos tribunais.
Velocidade: PoPs anycast e impacto real no Brasil
Cloudflare e Google fazem peering direto no IX.br São Paulo (PTT-SP), o maior ponto de troca de tráfego da América Latina. Para operadoras que também fazem peering no IX.br SP, uma consulta ao 1.1.1.1 ou 8.8.8.8 muitas vezes e resolvida dentro do datacenter do IX, sem sair do estado. Isso resulta em latências de 1-8ms em conexões Vivo Fibra, Claro NET e TIM Live no Sudeste.
Quad9 expandiu presença no Brasil com nos em São Paulo e Fortaleza a partir de 2023. Para usuários no Nordeste (Fortaleza, Recife, Salvador), o no de Fortaleza do Quad9 e competitivo com Cloudflare e Google, diferente do cenario pré-2023, quando todo o tráfego ia para os EUA com latências de 100-150ms.
Mudar DNS não aumenta velocidade de download ou upload. O que melhora e o tempo de resolução de nomes: quanto o navegador demora para transformar "google.com" em um endereço IP antes de iniciar o download da pagina. Com DNS lento, cada novo domínio adiciona latência visível, especialmente em paginas com muitos recursos de domínios diferentes (CDNs, analytics, fontes web).
| Regiao BR | Cloudflare 1.1.1.1 | Google 8.8.8.8 | Quad9 9.9.9.9 | NIC.br 200.160.0.78 |
|---|---|---|---|---|
| Sudeste (SP, RJ, BH) | ~5-12ms | ~6-15ms | ~8-18ms | ~2-8ms |
| Sul (Curitiba, Porto Alegre) | ~8-20ms | ~10-22ms | ~12-25ms | ~5-15ms |
| Nordeste (Fortaleza, Recife) | ~10-25ms | ~12-28ms | ~12-25ms (via FOR) | ~8-20ms |
| Centro-Oeste (Brasília) | ~10-22ms | ~12-25ms | ~15-28ms | ~6-18ms |
| Norte (Manaus, Belém) | ~20-40ms | ~22-45ms | ~25-50ms | ~15-35ms |
Privacidade: quem guarda o que sobre suas consultas DNS
Cada consulta DNS revela quais domínios você acessa e quando. Provedores de DNS guardam dados diferentes:
Google (8.8.8.8): opera pela Google LLC, empresa americana sujeita ao FISA e National Security Letters. Afirma anonimizar logs em 24-48 horas, mas como empresa de publicidade tem interesse estrutural em dados de navegação. Não ha auditoria independente publicada de terceiros especificamente sobre os logs de DNS do serviço.
Cloudflare (1.1.1.1): também americana, sujeita as mesmas leis federais. Contratou a KPMG para auditar a política de não-logs anualmente desde o lancamento em abril de 2018. Não tem modelo de negócio de publicidade, o que reduz o incentivo estrutural de monetizar dados de navegação.
Quad9 (9.9.9.9): operado pela Quad9 Foundation, entidade sem fins lucrativos registrada na Suíça. A lei suica de proteção de dados (nDSG), revisada em 2023, e uma das mais rigorosas do mundo e não esta sujeita a ordens de vigilância americanas. Quad9 afirma formalmente não guardar logs de IP e e auditado por empresas independentes (Dekra, KPMG).
Filtros de malware e controle parental
Quad9 bloqueia domínios maliciosos por padrão usando feeds de inteligência de ameacas: IBM X-Force, Abuse.ch, CIRCL e outros parceiros. Quando um domínio malicioso e consultado, o Quad9 retorna NXDOMAIN em vez do IP, impedindo a conexão com servidores de malware, ransomware ou phishing sem intervenção do usuário.
| Provedor | Bloqueio malware padrão | Bloqueio adulto | Controle parental | Versao sem filtro |
|---|---|---|---|---|
| Quad9 9.9.9.9 | Sim (padrão) | Não | Via configurações avancadas DoH | 9.9.9.10 / 149.112.112.10 |
| Cloudflare 1.1.1.1 | Não (padrão 1.1.1.1) | Não (padrão) | 1.1.1.3 (malware + adulto) | 1.1.1.1 (já e sem filtro) |
| Cloudflare 1.1.1.2 | Sim | Não | Não | Usar 1.1.1.1 |
| Google 8.8.8.8 | Parcial (NXDOMAIN malicioso confirmado) | Não | SafeSearch não e DNS filtering | N/A |
| OpenDNS 208.67.222.222 | Sim | Sim (FamilyShield) | Painel web por categoria | Requer conta |
| AdGuard 94.140.14.14 | Sim (ads/trackers + malware) | Sim (versão Family) | Via painel conta | 94.140.14.140 (unfiltered) |
DoH e DoT: por que importa criptografar o DNS
DNS tradicional (UDP porta 53) e não criptografado. Qualquer intermediario na rota pode ver todas as consultas DNS, mesmo que o tráfego HTTP seja HTTPS. Isso inclui o provedor de acesso, o administrador da rede Wi-Fi e qualquer equipamento de rede no caminho.
| Protocolo | Porta | Criptografia | Como ativar | Melhor para |
|---|---|---|---|---|
| DNS over HTTPS (DoH) | 443 | HTTPS/TLS | Firefox, Chrome (configurações nativas), Windows 11 (adaptador de rede) | Usuarios domésticos; indistinguível de tráfego HTTPS |
| DNS over TLS (DoT) | 853 | TLS | Roteadores avancados (MikroTik, pfSense, OPNsense), Android 9+ | Infraestrutura de rede; mais fácil de configurar em roteadores |
| DNS over QUIC (DoQ) | 853 (UDP) | QUIC/TLS | Mullvad, Cloudflare (suporte experimental) | Redes com alta perda de pacotes; mais rápido que DoT |
| DNS tradicional (UDP) | 53 | Nenhuma | Padrao em todos os sistemas | Compatibilidade máxima; sem privacidade de consultas |
Como escolher o melhor DNS para cada uso
| Prioridade | DNS recomendado | Motivo |
|---|---|---|
| Velocidade máxima no Sudeste BR | Cloudflare 1.1.1.1 / 1.0.0.1 | Peering IX.br SP; ~5-12ms na maioria das operadoras |
| Privacidade e jurisdicao fora dos EUA | Quad9 9.9.9.9 / 149.112.112.112 | Sede suica, não sujeita ao FISA, zero logs auditados |
| Velocidade + privacidade equilibradas | Cloudflare primário + Quad9 secundário | Rapidez no primário, fallback privado no secundário |
| Protecao contra malware sem configuração extra | Quad9 9.9.9.9 | Bloqueia domínios maliciosos por padrão, sem precisar instalar nada |
| Controle parental com painel web | OpenDNS 208.67.222.222 | Painel de gerenciamento por categoria; FamilyShield sem configuração |
| Bloquear anúncios e trackers em nível de rede | AdGuard DNS 94.140.14.14 ou NextDNS | Bloqueia rastreadores sem precisar de extensão em cada dispositivo |
| Dominios .br com menor latência possível | NIC.br 200.160.0.78 | Servidores fisicamente no Brasil; autoridade para .br |
| Privacidade máxima + zero tracking | Mullvad DNS 194.242.2.2 | Zero coleta de dados, auditado Cure53, sede sueca |
Distribuicao de DNS entre usuários brasileiros
A maior parte dos usuários brasileiros ainda usa o DNS padrão do ISP, que vem configurado automaticamente pelo DHCP da operadora. Mas a adocao de DNS públicos tem crescido, puxada pela conscientizacao sobre privacidade e pelos bloqueios de plataformas determinados judicialmente que tornaram o tema visivelmente presente no debate público.
Uso estimado de DNS públicos no Brasil (2026)
Estimativa baseada em dados de tráfego IX.br e DNSperf. Valores aproximados; distribuicao real varia por operadora e região.
Perguntas frequentes
Para velocidade: Cloudflare 1.1.1.1, com PoP no IX.br São Paulo e latência de 5-12ms na maioria das operadoras do Sudeste. Para privacidade: Quad9 9.9.9.9, com sede suica, zero logs auditados e bloqueio de malware por padrão. Para a maioria dos usuários, usar Cloudflare como primário e Quad9 como secundário entrega o melhor equilibrio entre velocidade e privacidade.
Não muda download nem upload. O que muda e o tempo de resolução de nomes: quanto o navegador demora para converter "exemplo.com" em um endereço IP antes de iniciar o download. Com DNS lento do ISP, cada novo domínio pode adicionar 50-200ms. Com Cloudflare ou Google no IX.br SP, essa etapa cai para 5-15ms, o que acelera o carregamento perceptivelmente em paginas com muitos domínios externos.
Cloudflare, Google e Quad9 são auditados externamente e publicam relatórios de transparência. O risco existe com DNS desconhecidos em tutoriais aleatórios: um servidor DNS malicioso pode responder com IPs falsos para redirecionar tráfego. Use DoH ou DoT para criptografar as consultas e impedir interceptação no caminho. Nunca configure DNS de fonte desconhecida sem verificar a política de privacidade.
DNSSEC (DNS Security Extensions) adiciona assinaturas criptográficas as respostas DNS, permitindo verificar que a resposta não foi alterada no caminho. Todos os provedores da tabela suportam DNSSEC na validação das respostas. Para domínios assinados com DNSSEC (como muitos .br, .gov.br, .com.br), o resolver verifica a assinatura antes de retornar o IP ao solicitante.
Acesse o painel do roteador (geralmente 192.168.1.1), va em configurações de LAN ou DHCP e substitua os campos "DNS primário" e "DNS secundário". Ao configurar no roteador, todos os dispositivos da rede recebem o novo DNS via DHCP automaticamente, sem precisar configurar cada dispositivo individualmente. Salve e aguarde a renovação do DHCP nos dispositivos (ou reconecte-os manualmente).
Sim, ocorre ocasionalmente. Dominios legitimos podem ser marcados como maliciosos por falso positivo nos feeds de inteligência que o Quad9 usa. Se um site parar de funcionar após mudar para 9.9.9.9, teste com 9.9.9.10 (a versão sem filtro do Quad9). Se o site abrir com 9.9.9.10, e bloqueio DNS. Nesse caso, relate o falso positivo em quad9.net/support ou use o Quad9 sem filtro como alternativa permanente.
Para Fortaleza e Recife, o Quad9 ganhou competitividade com o no anycast em Fortaleza (desde 2023), entregando latências de 12-25ms para operadoras com peering nessa região. Cloudflare e Google também tem cobertura via IX.br Fortaleza, mas com menos densidade de PoPs que no Sudeste. O NIC.br (200.160.0.78) com servidores fisicamente no Brasil também e uma opcao de baixa latência em qualquer região.
No Firefox: abra as Configuracoes, va em Privacidade e Seguranca, role até a seção "DNS sobre HTTPS" e selecione o nível de proteção desejado. Escolha o provedor (Cloudflare ou NextDNS esta disponível por padrão; outros podem ser inseridos como URL personalizada). Com isso, as consultas DNS do Firefox vao criptografadas para o servidor escolhido, independente do DNS configurado no roteador ou sistema operacional.
O DNS primário e consultado primeiro para cada resolução de nome. O secundário só e consultado quando o primário não responde (timeout ou falha de conectividade). Na prática, o DNS primário resolve a quase totalidade das consultas. A escolha do secundário importa para os momentos de failover: se o primário cair, o secundário entra imediatamente. Por isso, usar provedores diferentes no primário e secundário (ex: Cloudflare + Quad9) e mais resiliente que usar dois IPs do mesmo provedor.
Depende da operadora e da região. Em cidades com servidores DNS geograficamente próximos, o DNS do ISP pode ser comparavel ao Cloudflare ou Google. O problema mais comum nos ISPs brasileiros não e a latência, mas o cache muito agressivo (TTL ignorado), ausencia de DNSSEC em alguns casos e falta de política pública de privacidade. Para confirmar, use /consulta-dns para medir o tempo de resposta do DNS da sua operadora versus os públicos.
Pode. O NIC.br (200.160.0.78) e um resolver público operado pelo Registro.br, com servidores fisicamente no Brasil. Entrega latências muito baixas (2-8ms no Sudeste) e e autoridade máxima para domínios .br. As desvantagens: sem suporte a DoH público (não criptografa consultas), sem bloqueio de malware e sem política de privacidade detalhada publicada. Para uso geral em redes corporativas ou domiciliares com foco em resolução de domínios .br, e uma escolha solida.
Depende do tipo de bloqueio. Se o bloqueio foi implementado apenas em nível de DNS pelos ISPs brasileiros, mudar para Cloudflare 1.1.1.1 ou Google 8.8.8.8 resolve o acesso, pois esses servidores não cumprem ordens de bloqueio DNS de tribunais brasileiros. Se o bloqueio foi determinado em nível de IP (roteamento BGP) ou se o provedor bloqueia o tráfego para os IPs do serviço, mudar o DNS não resolve. Para bloqueios de IP, apenas VPN ou Tor contornam o acesso. Use /meu-ip e /consulta-dns para diagnosticar qual tipo de bloqueio esta em vigor.
Aviso editorial: o SaberMeuIP não opera servidores DNS públicos nem tem parceria comercial com nenhum dos provedores citados. As recomendacoes refletem características técnicas públicas e podem mudar conforme os provedores atualizam infraestrutura, políticas de privacidade ou modelos de negócio. Consulte a documentação oficial de cada provedor antes de configurar em ambientes sensiveis.
Os melhores DNS públicos para o Brasil em 2026 oferecem velocidade, privacidade e filtros de seguranca muito acima dos servidores padrão dos ISPs brasileiros. Cloudflare como primário e Quad9 como secundário e a combinacao mais equilibrada para a maioria dos usuários. Use a ferramenta /consulta-dns para testar a resolução de qualquer domínio nos servidores listados e verificar qual responde mais rápido na sua conexão especifica antes de fixar a configuração no roteador.
Testar DNS
Leituras Relacionadas
- DNS Google vs Cloudflare vs Quad9 — DNS Google vs Cloudflare vs Quad9: comparativo profundo de velocidade no Brasil, privacidade, filtros de malware, anycast PoPs BR e suporte a DoH/DoT. Atualizado 2026.
- Como mudar DNS — Como mudar DNS passo a passo: Windows 10/11, macOS, Linux, Android, iOS e roteador. DNS publicos recomendados para o Brasil com instrucoes ilustradas.
- O que é DNS — O que e DNS: como funciona a resolucao de nomes para IP, hierarquia de servidores, raiz, TLD, autoritativo, cache e impacto na privacidade e velocidade.