Pi-hole vs hosts 文件：哪个拦截广告更好？

想在不安装浏览器扩展的情况下拦截广告和跟踪器？两种方案占主导：本地 hosts 文件和 Pi-hole。各有优劣。本指南帮你选择。

两种方案概览

hosts 文件

hosts 文件是所有操作系统都有的文本文件，可将域名重定向到特定 IP 地址，尤其是 0.0.0.0 用于拦截。

工作原理：访问网站时，系统会在查询 DNS 服务器之前先检查 hosts 文件。

Pi-hole

Pi-hole 是服务器软件，作为整个网络的过滤 DNS。它拦截 DNS 请求并阻止指向广告域名的请求。

工作原理：网络上所有设备都将 Pi-hole 作为 DNS 服务器。

详细对比

保护范围

结论：若需保护多台设备，Pi-hole 胜出。

安装便利性

hosts 文件

• 无需安装软件
• 编辑文本文件
• 时间：5–10 分钟

Pi-hole

• 需要服务器（Raspberry Pi、VM、Docker）
• 需要网络配置
• 时间：30–60 分钟

结论：hosts 文件更容易上手。

管理与维护

hosts 文件

• 手动更新列表
• 无原生 GUI
• 通过 grep/Ctrl+F 在文件中搜索

Pi-hole

• 完整 Web 界面
• 实时统计
• 自动更新列表
• 详细日志

结论：Pi-hole 的管理体验更好。

性能

hosts 文件

• 对浏览零影响
• 无单点故障
• 离线可用

Pi-hole

• 可能有轻微 DNS 延迟
• Pi-hole 宕机则无 DNS
• 需要服务器常开

结论：hosts 文件更可靠、无依赖。

移动性

hosts 文件

• 离开家也能保护
• 随处可用

Pi-hole

• 仅在家保护（除非 VPN）
• 外出时移动设备暴露

结论：hosts 文件随处保护你。

推荐使用场景

使用 hosts 文件，如果你：

• 只有一台电脑需要保护
• 想要简单快速的方案
• 经常出差旅行
• 不想维护服务器

使用 Pi-hole，如果你：

• 有多台设备（家庭）
• 想保护手机和平板
• 喜欢统计和仪表盘
• 已有 Raspberry Pi 或服务器

两者都用，如果你：

• 想要最大保护
• 在家用 Pi-hole，出行用 hosts 文件
• Pi-hole 故障时的冗余

决策矩阵

根据你实际需要保护的环境来选择。

一台 Mac，开发者工作流

优先使用 hosts 文件。它本地、可预测，且易于与 myproject.test 等开发域名结合。可拦截跟踪器、固定 staging 域名，并在本地项目间切换，无需动路由器。

若主要需求是更干净的开发者机器而非全家网络过滤，这是最佳 fit。

家庭网络

优先 Pi-hole。它保护手机、平板、智能电视和无法方便编辑 hosts 的联网设备。仪表盘也有助于了解哪些设备请求频繁。

代价是运维：Pi-hole 成为网络基础设施的一部分。若宕机且无备用 DNS，全家可能失去名称解析。

在不同网络间移动的笔记本

使用 hosts 文件，可选加 NextDNS 等云 DNS。Pi-hole 仅在使用它作为 DNS 的网络中保护你，除非还配置回家 VPN。

对工作笔记本，hosts 文件也更容易审计：规则在设备上、可版本化、与路由器无关。

小团队或 agency

用 hosts 配置文件做项目特定映射，仅在需要办公室级过滤时加 Pi-hole。团队往往不仅需要广告拦截：staging 域名、迁移预览、QA 域名和临时客户映射。

这时可视化 hosts 管理器比纯 DNS 拦截器更有用。

安全与隐私差异

两种方案都在内容加载前拦截域名，但隐私画像不同。

使用 hosts 文件：

• 被拦截域名的 DNS 请求不会离开电脑。
• 没有记录所有设备的中央服务器。
• 规则仅属于本机。
• 除非自动化，否则更新需手动。

使用 Pi-hole：

• 获得全网可见性。
• 可看到嘈杂设备和最常拦截的域名。
• 日志集中。
• 有仪表盘访问权限的人可检查 DNS 活动。

对个人开发者机器，本地规则可能更保护隐私。对家庭或办公室，Pi-hole 的可见性往往是目的所在。

维护清单

无论选哪种，都把拦截列表当作活配置来维护。

hosts 文件维护

• 为自定义条目保留干净的分区。
• 导入大列表前备份 /etc/hosts。
• 每次更新后刷新 DNS。
• 为误拦截保留短 allowlist。
• 无注释时不要混用项目映射和广告拦截条目。

Locahl 可在此分组、切换、快速搜索，避免手动编辑 10 万行文件。

Pi-hole 维护

• 至少配置一条备用 DNS 路径。
• 保持服务器更新。
• 审查查询日志中的误拦截。
• 避免添加过多重叠拦截列表。
• 重大变更前导出配置。

更多列表并不总是更好拦截。过于激进的列表可能破坏登录流程、支付页面、通讯工具和嵌入式媒体。

常见误拦截

两种方案都会遇到相同问题域名：

• 合法站点使用的 CDN 或图片域名。
• Google、Microsoft、Apple 或社交登录的认证域名。
• 支付服务商域名。
• 同时处理退订或重定向的邮件跟踪域名。
• SaaS 仪表盘内部使用的分析域名。

站点出问题时，有针对性地禁用规则。除非需要紧急回滚，不要删除整个拦截列表。

实用建议

对大多数 Mac 开发者：

• 从 hosts 文件管理器开始。
• 导入一份保守的拦截列表。
• 将项目和 staging 域名放在独立分组。
• 若需要家庭或办公室级过滤，再添加 Pi-hole。

对家庭：

• 从 Pi-hole 或 AdGuard Home 开始。
• hosts 文件仅用于笔记本特定例外。

对 agency：

• 用 hosts 配置做项目环境。
• Pi-hole 仅用于共享网络策略。

最优配置

Mac 上的 hosts 文件

无需 Terminal 轻松管理 hosts 文件，可使用 Locahl，提供：

• 可视化界面
• 拦截列表导入
• 按条目启用/禁用
• hosts 文件拦截完整指南

Docker 中的 Pi-hole

version: "3"
services:
  pihole:
    image: pihole/pihole:latest
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "80:80/tcp"
    environment:
      TZ: 'America/New_York'
      WEBPASSWORD: 'your-password'
    volumes:
      - './etc-pihole:/etc/pihole'
      - './etc-dnsmasq.d:/etc/dnsmasq.d'
    restart: unless-stopped

推荐拦截列表

两种方案可使用相同列表：

Steven Black's hosts（推荐）

• 约 60,000 个域名
• 广告 + 恶意软件
• github.com/StevenBlack/hosts

OISD

• 优化合并列表
• 误拦截较少
• oisd.nl

Energized Protection

• 不同大小的版本
• github.com/EnergizedProtection/block

其他备选

NextDNS

• 云上的 Pi-hole
• 无需维护服务器
• 随处可用（含移动端）
• Freemium（每月 30 万次请求免费）

AdGuard Home

• Pi-hole 的替代
• 更现代的界面
• 原生 DNS-over-HTTPS 支持

浏览器扩展

• uBlock Origin（免费、优秀）
• 仅保护浏览器
• 可能被网站检测

站点损坏排查

拦截后站点损坏时：

1. 临时禁用最新列表或分组。 2. 在隐私窗口重新加载页面。 3. 打开 DevTools 检查失败的网络请求。 4. 仅将所需域名加入 allowlist。 5. 刷新 DNS 并再次测试。

在 Mac 上：

sudo dscacheutil -flushcache && sudo killall -HUP mDNSResponder

若旧结果仍存在，在 Chrome 中也清除 chrome://net-internals/#dns。

结论

hosts 文件和 Pi-hole 并非竞争关系，而是互补。

从 hosts 文件开始：免费、简单，立即保护你。若需保护多设备或要统计，再加 Pi-hole。

我的建议：Mac 上用 hosts 文件（用 Locahl 管理）+ 家里用 Pi-hole 保护其他设备。