Thảo luận  Tại sao bạn không nên dùng DNS mặc định của nhà cung cấp dịch vụ Internet

Bim Sponges
DNS (Domain Name System - Hệ thống phân giải tên miền) về căn bản là một hệ thống giúp cho việc chuyển đổi các tên miền mà con người dễ ghi nhớ (dạng ký tự, ví dụ www.example.com) sang địa chỉ IP vật lý (dạng số, ví dụ 123.11.5.19) tương ứng của tên miền đó. DNS giúp liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị trên Internet.
Tham khảo thêm:
VN: https://vi.wikipedia.org/wiki/Hệ_thống_phân_giải_tên_miền
EN: https://en.wikipedia.org/wiki/Domain_Name_System

ISP (Internet Service Provider - Nhà cung cấp dịch vụ Internet) chuyên cung cấp các giải pháp kết nối mạng toàn cầu (Internet) cho các đơn vị tổ chức hay các cá nhân người dùng.
Tham khảo thêm:
VN: https://vi.wikipedia.org/wiki/Nhà_cung_cấp_dịch_vụ_Internet
EN: https://en.wikipedia.org/wiki/Internet_service_provider

DoH (DNS over HTTPS - ) là một giao thức để triển khai kết nối phân giải DNS từ xa thông qua HTTPS.
Tham khảo thêm:
EN: https://en.wikipedia.org/wiki/DNS_over_HTTPS

FTC (Federal Trade Commission) là một cơ quan độc lập của chính phủ Mỹ có nhiệm vụ chính là thực thi luật chống độc quyền dân sự (phi hình sự) và thúc đẩy việc bảo vệ người dùng.
Tham khảo thêm:
EN: https://en.wikipedia.org/wiki/Federal_Trade_Commission

VPN (Virtual Private Network - Mạng riêng ảo) là một mạng riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức kể cả đối với cá nhân thông qua mạng Internet công cộng.
Tham khảo thêm:
VN: https://vi.wikipedia.org/wiki/Mạng_riêng_ảo
EN: https://en.wikipedia.org/wiki/Virtual_private_network

Máy tính cá nhân, các loại điện thoại và nhiều thiết bị có khả năng kết nối tới Internet thông thường sẽ sử dụng DNS mà thiết bị phát sóng (Router) đã được cấu hình sẵn. Thật không may, các dãy DNS này thường do ISP cung cấp nên thường thiếu đi các tính năng riêng tư và đồng thời hay bị chậm kết nối hơn so với các dãy DNS khác.

1. DNS không riêng tư (không sử dụng DoH)

- DNS được thiết kế ra cách đây gần 40 năm trước và kể từ đó nó không được phát triển nhiều. Hầu hết DNS đều không được mã hóa. Có nghĩa là nó cung cấp cùng một cấp độ bảo vệ trước các bên thứ ba với các lưu lượng HTTP không bảo mật. Cho dù bạn có dùng HTTPS, các phần mềm bên thứ ba chen giữa các kết nối cũng có thể thấy được các trang web bạn đang kết nối (ngoại trừ nội dung bạn đang xem). Ví dụ, với kết nối Wifi công cộng, người điều hành của kết nối đó có thể theo dõi bạn đã truy cập những trang web nào.

- Giải pháp cho vấn đề này là sử dụng giao thức DoH. Giao thức mới này cơ bản sẽ mã hóa nội dung của truy vấn DNS để các bên thứ ba không thể phát hiện (nói vui là ngửi :v) ra nó. Các nhà cung cấp DNS lớn như Cloudflare, OpenDNS và Google Public DNS đã và đang hỗ trợ nó. Tuy nhiên, Chrome và Firefox vẫn đang trong quá trình triển khai.

- Bên cạnh vấn đề cải tiến việc bảo mật quyền riêng tư, DoH còn góp phần ngăn chặn các nỗ lực giả mạo truy vấn DNS. Nó là một giao thức an toàn hơn và mọi người nên biết đến để sử dụng nó.

- Tuy nhiên, cho dù bạn có bật DoH trên trình duyệt thì nó còn tùy vào nhà cung cấp DNS có hỗ trợ thực hiện nó hay không. Phần lớn các kết nối tại gia thường được thiết lập DNS mặc định do ISP đưa ra, đồng nghĩa với việc không hỗ trợ DoH. Nếu bạn chưa thay đổi DNS thủ công, thì đây có thể là vấn đề với trình duyệt và hệ điều hành của bạn.

- Mặc dù vậy vẫn có một số trường hợp ngoại lệ. Ở Mỹ, Firefox sẽ tự động kích hoạt DoH và sử dụng các DNS của các máy chủ trục thuộc Cloudflare. Các máy chủ của Comcast hỗ trợ DoH và hoạt động tốt với Chrome lẫn Edge.

- Tóm lại cách duy nhất để sử dụng DoH là sử dụng một dịch vụ DNS khác với DNS do ISP cung cấp mặc định.

2. Nhà cung cấp Internet có thể ghi lại lịch sử duyệt web của bạn (điều này chắc chưa hẳn ai cũng biết)

- Nếu bạn quan tâm vấn đề quyền riêng tư khi truy cập trục tuyến, dùng DNS do ISP cung cấp là một vấn đề nghiêm trọng. Các yêu cầu gửi đi có thể bị ghi lại và giúp cho ISP biết những web nào bạn truy cập, tìm tới tên máy chủ và miền phụ. Lịch sử duyệt web của bạn đôi khi còn là một loại dữ liệu giá trị (béo bở) mà nhiều công ty kiếm được lợi nhuận khổng lồ từ đó.

- Nhiều ISP bao gồm cả Comcast, đã tuyên bố rằng họ không thu thập dữ liệu khách hàng. Tuy nhiên Comcast chống lại DoH (khó hiểu). Mặc dù nhiều ISP nhất là ở Mỹ tuyên bố không thu thập dữ liệu khách hàng (nói luôn là việc thu thập này nó hợp pháp ở Mỹ) nhưng sẽ rất dễ thực hiện vì các máy chủ DNS đều do ISP kiểm soát. FTC đã có đủ sự quan tâm để điều tra xem liệu các ISP có làm việc này không (thu thập dữ liệu). Luật pháp và các quy định ở mỗi quốc gia đều khác nhau nên còn tùy thuộc vào bạn có tin tưởng ISP của mình hay không.

(xin skip 1 đoạn về cái Comcast vì nó không dính tới VN)

- Tất nhiên, DNS không phải là cách duy nhất để ISP theo dõi bạn. Họ cũng thấy được địa chỉ IP bạn đang kết nối tới, cho dù bạn sử dụng máy chủ DNS nào đi nữa. Thay đổi máy chủ DNS không ngừng được việc ISP có thể theo dõi bạn nhưng nó sẽ làm việc theo dõi bạn có thêm phần khó khăn (có khó còn hơn không khó :v).

- Sử dụng VPN trong cuộc sống trên Internet của bạn là cách tốt nhất để ngăn chặn ISP theo dõi.

3. Các máy chủ DNS bên thứ ba cũng có thể rất nhanh

- Ngoài những lo ngại về quyền riêng tư, các DNS do ISP cung cấp đôi khi còn chậm hơn Google hoặc Cloudflare. Nhưng đôi khi cũng không phải là vậy, đôi khi các DNS do ISP cung cấp thực sự gần bạn hơn về khoảng tốc độ kết nối so với các DNS ở xa hơn (khoảng cách địa lý, vấn đề cáp này nọ ..). Thường thì sự khác biệt tính bằng mili giây nên có thể không quá quan trọng với bạn hoặc với những người dùng thông thường.

4. Bạn nên sử dụng các máy chủ DNS công cộng nào ?

- Nếu bạn muốn chuyển qua các máy chủ DNS công cộng, bạn có thể có vài sự lựa chọn. Thông dụng nhất là DNS của Google (8.8.8.8 và 8.8.4.4).

- Nếu sự tin tưởng của bạn dành cho Google còn ít hơn ISP, thì bạn cũng có thể dùng DNS của Cloudflare - được tuyên bố là nhanh nhất và mục tiêu đầu tiên là quan tâm tới vấn đề quyền riêng tư của người dùng (1.1.1.1 và 1.0.0.1).

- Lựa chọn cuối cùng, bạn có thể dùng OpenDNS cung cấp bởi Cisco (208.67.222.222 và 208.67.220.220)

---
Link EN mà mình dịch lại:

P/s:
- Phần dịch đã lượt bỏ một chút và mình dịch 80% bằng kiến thức, còn lại bằng Google Translate.
- Mong các bạn hiểu rõ sự quan trọng của bảo mật quyền riêng tư khi dùng DNS.
---
 
Sửa lần cuối:
Trả lời

Hamano Kaito

Moderator
Mình đổi DNS từ Windows. Thậm chí thiết lập trong Modem nhà mạng tất cả đều của Cloudflare 1.1.1.1.
Sao xem porn không được ạ :(((((( huhu :(((((((((({cry}{cry}{cry}

Trong 1 hệ thống mạng nó có rất nhiều lớp. Mỗi lớp sẽ đại diện cho 1 phần tử nào đó (VD như vậy thôi)
Nếu bạn dùng phần tử 1 thì họ chặn phần tử 2 (Ví dụ vậy thôi). Cho nên bạn ko thể dùng DNS để truy cập các trang bị chặn
Chỉ có thể dùng VPN mới vượt qua được thôi
 

Bim Sponges

Rìu Vàng
Cách bạn đảm bảo an toàn để nhà mạng không thể ghi lại thông tin là, bạn hãy rút dây mạng ra hoặc rút điện modem là giải quyết được vấn đề. Cảm ơn chủ bài viết đã chia sẻ
Ý này cũng hay đó bạn nhưng mà cuộc sống hiện tại thì mọi thứ đều không đơn giản thế đâu :p
 

Bim Sponges

Rìu Vàng
Không hẳn là Public DNS thì an toàn hơn, một số nhà cung cấp dịch vụ vẫn ghi lại nhật kí truy cập (Google, OpenDNS, etc).

Mình xin bổ sung thêm danh sách DoH để mọi người có thể tham khảo, chọn được Public DNS phù hợp.
Link: https://github.com/curl/curl/wiki/DNS-over-HTTPS
Trong bài dịch mình có ghi rõ là "Sử dụng VPN trong cuộc sống trên Internet của bạn là cách tốt nhất để ngăn chặn ISP theo dõi" chứ DNS thì dù bạn có sử dụng cái nào thì ISP cũng sẽ lần ra bạn thôi và các nhà cung cấp DNS cho dù chính sách thế nào thì nó cũng lưu trữ thông tin người dùng. Cái nào cũng có 2 mặt. Chẳng biết tới khi nào tụi nó túng thiếu rồi bán thông tin khách hàng hoặc do một nhân viên vô trách nhiệm nào đó tuồn ra chẳng hạn v.v..

@nhoxboy2010 | Tặng bạn link này: https://dnscrypt.info/public-servers
Trang đó mới là ghi đúng và chính xác về DNS, nó có ghi DNS nào có ghi lại logs luôn. Và DNS nào bảo mật
Bác @Hamano Kaito (cám ơn bác) đề xuất cái link chính xác hơn nhiều, ấn vào cột Name của dòng nào cần còn hiển thị đầy đủ chi tiết kể cả IP, còn link bạn @nhoxboy2010 thì chung chung và nhiều thiếu sót lắm.
 

Bim Sponges

Rìu Vàng
@Bim Sponges | DNS bình thường là 1 bước bảo mật hạng 2, còn DNSCrypt là 1 bước bảo mật hạng 1...
Thật ra cái này tui cũng mới biết luôn, cám ơn bác, đúng là kiến thức thì rộng thật. Giờ đang ngồi đọc trên Wiki về khái niệm của nó rồi nghiên cứu thêm sau. Cám ơn bác, hehe. Khi hiểu rồi chắc sẽ viết thêm về các kiểu DNS khác.
 

Hamano Kaito

Moderator
Thật ra cái này tui cũng mới biết luôn, cám ơn bác, đúng là kiến thức thì rộng thật. Giờ đang ngồi đọc trên Wiki về khái niệm của nó rồi nghiên cứu thêm sau. Cám ơn bác, hehe. Khi hiểu rồi chắc sẽ viết thêm về các kiểu DNS khác.

Mã hóa hay cải tiến DNS (ẩn danh) đã có từ rất lâu rồi. Rất nhiều sản phẩm đã ra đời rồi bạn
Nếu tính ko lầm thì có tầm cỡ 5 hay 6 Tools như vậy đấy. Nhưng mình thì đang xài DNSCrypt và Acrylic DNS Proxy
 

Bim Sponges

Rìu Vàng
Mã hóa hay cải tiến DNS (ẩn danh) đã có từ rất lâu rồi. Rất nhiều sản phẩm đã ra đời rồi bạn
Nếu tính ko lầm thì có tầm cỡ 5 hay 6 Tools như vậy đấy. Nhưng mình thì đang xài DNSCrypt và Acrylic DNS Proxy
Chắc do phạm trù công việc không có dính tới nó nhiều nên mình chỉ biết về khái niệm DNS cơ bản và DoH thôi, giờ biết thêm thì sẽ tìm hiểu sâu hơn.
 

minhtan.nguyen91

Búa Gỗ Đôi
Ai dùng Cloudfare rồi cho em hỏi về tốc độ nó ntn nhỉ? Với cả có chặn hay nhiều khi bị lỗi gì không? {byebye} Từng dùng đồ GG thấy anh GG có thu thập dữ liệu của mình (chưa thêm DNS), với cả có đợt GG DNS bị gì đó mà tắt DNS của GG đi thì vào web bình thường {angry}
Đợt dịch vừa rồi đổi sang 1111 mà chả thấy nhanh hơn tí nào, ngoài ra mạng còn chập chờn hơn nên lại về với 8888