Thảo luận  Tại sao bạn không nên dùng DNS mặc định của nhà cung cấp dịch vụ Internet

Bim Sponges
DNS (Domain Name System - Hệ thống phân giải tên miền) về căn bản là một hệ thống giúp cho việc chuyển đổi các tên miền mà con người dễ ghi nhớ (dạng ký tự, ví dụ www.example.com) sang địa chỉ IP vật lý (dạng số, ví dụ 123.11.5.19) tương ứng của tên miền đó. DNS giúp liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị trên Internet.
Tham khảo thêm:
VN: https://vi.wikipedia.org/wiki/Hệ_thống_phân_giải_tên_miền
EN: https://en.wikipedia.org/wiki/Domain_Name_System

ISP (Internet Service Provider - Nhà cung cấp dịch vụ Internet) chuyên cung cấp các giải pháp kết nối mạng toàn cầu (Internet) cho các đơn vị tổ chức hay các cá nhân người dùng.
Tham khảo thêm:
VN: https://vi.wikipedia.org/wiki/Nhà_cung_cấp_dịch_vụ_Internet
EN: https://en.wikipedia.org/wiki/Internet_service_provider

DoH (DNS over HTTPS - ) là một giao thức để triển khai kết nối phân giải DNS từ xa thông qua HTTPS.
Tham khảo thêm:
EN: https://en.wikipedia.org/wiki/DNS_over_HTTPS

FTC (Federal Trade Commission) là một cơ quan độc lập của chính phủ Mỹ có nhiệm vụ chính là thực thi luật chống độc quyền dân sự (phi hình sự) và thúc đẩy việc bảo vệ người dùng.
Tham khảo thêm:
EN: https://en.wikipedia.org/wiki/Federal_Trade_Commission

VPN (Virtual Private Network - Mạng riêng ảo) là một mạng riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức kể cả đối với cá nhân thông qua mạng Internet công cộng.
Tham khảo thêm:
VN: https://vi.wikipedia.org/wiki/Mạng_riêng_ảo
EN: https://en.wikipedia.org/wiki/Virtual_private_network

Máy tính cá nhân, các loại điện thoại và nhiều thiết bị có khả năng kết nối tới Internet thông thường sẽ sử dụng DNS mà thiết bị phát sóng (Router) đã được cấu hình sẵn. Thật không may, các dãy DNS này thường do ISP cung cấp nên thường thiếu đi các tính năng riêng tư và đồng thời hay bị chậm kết nối hơn so với các dãy DNS khác.

1. DNS không riêng tư (không sử dụng DoH)

- DNS được thiết kế ra cách đây gần 40 năm trước và kể từ đó nó không được phát triển nhiều. Hầu hết DNS đều không được mã hóa. Có nghĩa là nó cung cấp cùng một cấp độ bảo vệ trước các bên thứ ba với các lưu lượng HTTP không bảo mật. Cho dù bạn có dùng HTTPS, các phần mềm bên thứ ba chen giữa các kết nối cũng có thể thấy được các trang web bạn đang kết nối (ngoại trừ nội dung bạn đang xem). Ví dụ, với kết nối Wifi công cộng, người điều hành của kết nối đó có thể theo dõi bạn đã truy cập những trang web nào.

- Giải pháp cho vấn đề này là sử dụng giao thức DoH. Giao thức mới này cơ bản sẽ mã hóa nội dung của truy vấn DNS để các bên thứ ba không thể phát hiện (nói vui là ngửi :v) ra nó. Các nhà cung cấp DNS lớn như Cloudflare, OpenDNS và Google Public DNS đã và đang hỗ trợ nó. Tuy nhiên, Chrome và Firefox vẫn đang trong quá trình triển khai.

- Bên cạnh vấn đề cải tiến việc bảo mật quyền riêng tư, DoH còn góp phần ngăn chặn các nỗ lực giả mạo truy vấn DNS. Nó là một giao thức an toàn hơn và mọi người nên biết đến để sử dụng nó.

- Tuy nhiên, cho dù bạn có bật DoH trên trình duyệt thì nó còn tùy vào nhà cung cấp DNS có hỗ trợ thực hiện nó hay không. Phần lớn các kết nối tại gia thường được thiết lập DNS mặc định do ISP đưa ra, đồng nghĩa với việc không hỗ trợ DoH. Nếu bạn chưa thay đổi DNS thủ công, thì đây có thể là vấn đề với trình duyệt và hệ điều hành của bạn.

- Mặc dù vậy vẫn có một số trường hợp ngoại lệ. Ở Mỹ, Firefox sẽ tự động kích hoạt DoH và sử dụng các DNS của các máy chủ trục thuộc Cloudflare. Các máy chủ của Comcast hỗ trợ DoH và hoạt động tốt với Chrome lẫn Edge.

- Tóm lại cách duy nhất để sử dụng DoH là sử dụng một dịch vụ DNS khác với DNS do ISP cung cấp mặc định.

2. Nhà cung cấp Internet có thể ghi lại lịch sử duyệt web của bạn (điều này chắc chưa hẳn ai cũng biết)

- Nếu bạn quan tâm vấn đề quyền riêng tư khi truy cập trục tuyến, dùng DNS do ISP cung cấp là một vấn đề nghiêm trọng. Các yêu cầu gửi đi có thể bị ghi lại và giúp cho ISP biết những web nào bạn truy cập, tìm tới tên máy chủ và miền phụ. Lịch sử duyệt web của bạn đôi khi còn là một loại dữ liệu giá trị (béo bở) mà nhiều công ty kiếm được lợi nhuận khổng lồ từ đó.

- Nhiều ISP bao gồm cả Comcast, đã tuyên bố rằng họ không thu thập dữ liệu khách hàng. Tuy nhiên Comcast chống lại DoH (khó hiểu). Mặc dù nhiều ISP nhất là ở Mỹ tuyên bố không thu thập dữ liệu khách hàng (nói luôn là việc thu thập này nó hợp pháp ở Mỹ) nhưng sẽ rất dễ thực hiện vì các máy chủ DNS đều do ISP kiểm soát. FTC đã có đủ sự quan tâm để điều tra xem liệu các ISP có làm việc này không (thu thập dữ liệu). Luật pháp và các quy định ở mỗi quốc gia đều khác nhau nên còn tùy thuộc vào bạn có tin tưởng ISP của mình hay không.

(xin skip 1 đoạn về cái Comcast vì nó không dính tới VN)

- Tất nhiên, DNS không phải là cách duy nhất để ISP theo dõi bạn. Họ cũng thấy được địa chỉ IP bạn đang kết nối tới, cho dù bạn sử dụng máy chủ DNS nào đi nữa. Thay đổi máy chủ DNS không ngừng được việc ISP có thể theo dõi bạn nhưng nó sẽ làm việc theo dõi bạn có thêm phần khó khăn (có khó còn hơn không khó :v).

- Sử dụng VPN trong cuộc sống trên Internet của bạn là cách tốt nhất để ngăn chặn ISP theo dõi.

3. Các máy chủ DNS bên thứ ba cũng có thể rất nhanh

- Ngoài những lo ngại về quyền riêng tư, các DNS do ISP cung cấp đôi khi còn chậm hơn Google hoặc Cloudflare. Nhưng đôi khi cũng không phải là vậy, đôi khi các DNS do ISP cung cấp thực sự gần bạn hơn về khoảng tốc độ kết nối so với các DNS ở xa hơn (khoảng cách địa lý, vấn đề cáp này nọ ..). Thường thì sự khác biệt tính bằng mili giây nên có thể không quá quan trọng với bạn hoặc với những người dùng thông thường.

4. Bạn nên sử dụng các máy chủ DNS công cộng nào ?

- Nếu bạn muốn chuyển qua các máy chủ DNS công cộng, bạn có thể có vài sự lựa chọn. Thông dụng nhất là DNS của Google (8.8.8.8 và 8.8.4.4).

- Nếu sự tin tưởng của bạn dành cho Google còn ít hơn ISP, thì bạn cũng có thể dùng DNS của Cloudflare - được tuyên bố là nhanh nhất và mục tiêu đầu tiên là quan tâm tới vấn đề quyền riêng tư của người dùng (1.1.1.1 và 1.0.0.1).

- Lựa chọn cuối cùng, bạn có thể dùng OpenDNS cung cấp bởi Cisco (208.67.222.222 và 208.67.220.220)

---
Link EN mà mình dịch lại:

P/s:
- Phần dịch đã lượt bỏ một chút và mình dịch 80% bằng kiến thức, còn lại bằng Google Translate.
- Mong các bạn hiểu rõ sự quan trọng của bảo mật quyền riêng tư khi dùng DNS.
---
 
Sửa lần cuối:
Trả lời

GloryVNz

Rìu Sắt Đôi
DNS = Domain Name System

Hệ thống tên miền.
Đây là một giao thức mạng hoạt động dựa trên port mặc định 53 hoặc port 853 (DNS Secure). Nhiệm vụ của nó là phân giải/chuyển đổi các dải địa chỉ IP (vốn là các chuỗi số) về thành dạng ngôn ngữ thân thiện với người sử dụng, giúp cho con người dễ ghi nhớ hơn.

1. Vậy DNS nào cũng như nhau, vì sao phải đổi sang DNS khác, và việc đổi DNS thì lại có thể truy cập được một số trang web mà bình thường không truy cập được?

Vấn đề này nếu nói ở tầm cỡ vĩ mô thì liên quan đến Chính sách quản lý hệ thống internet của mỗi quốc gia.

Ở Trung Quốc hay Triều Tiên, mọi hoạt động của người dân trên internet bị kiểm soát gắt gao và thông tin nào bị chặn sẽ phụ thuộc vào cách mà Bộ Thông tin và Truyền thông Trung Quốc/Triều Tiên định nghĩa ra sao về thông tin độc hại, không phù hợp văn hóa etc.

Ở Đức, Thụy Sĩ, những quốc gia này đặt quyền riêng tư cá nhân lên cao thì không có (hoặc gần như không có) kiểm duyệt. Bạn muốn truy cập trang web nào cũng được.

2. DNS của bên thứ 3 (Google, Quad9, Cisco, Cloudflare, Yandex...) có đáng tin cậy?

Các truy vấn DNS của bạn sẽ gửi về máy chủ DNS bên thứ 3 thay vì DNS của ISP (ở VN là Viettel, VNPT, FPT...).

Lấy thí dụ bạn dùng Google DNS, như vậy toàn bộ thông tin về sở thích, thói quen truy cập các website của bạn nằm trong tay của Google.
Bạn dùng 1.1.1.1 DNS, thì thông tin của bạn nằm trong tay Cloudflare.

Vậy việc chọn mặt gửi vàng, dữ liệu của bạn nằm trong tay ai là điều quan trọng, bên cạnh tốc độ phân giải của DNS đó.


Lời khuyên cá nhân mình nếu sử dụng DNS bên thứ 3 hãy chọn một tên tuối lớn giữa một "rừng" các dịch vụ DNS được quảng cáo với vô vàn tính năng bảo mật hấp dẫn.
 

Handrf

Kiếm đá
Ai dùng Cloudfare rồi cho em hỏi về tốc độ nó ntn nhỉ? Với cả có chặn hay nhiều khi bị lỗi gì không? {byebye} Từng dùng đồ GG thấy anh GG có thu thập dữ liệu của mình (chưa thêm DNS), với cả có đợt GG DNS bị gì đó mà tắt DNS của GG đi thì vào web bình thường {angry}
mình dùng dns 1.1.1.1 chơi pubg mobile bị ping cao. tắt đi lại ngon
 
Mình đổi DNS từ Windows. Thậm chí thiết lập trong Modem nhà mạng tất cả đều của Cloudflare 1.1.1.1.
Sao xem porn không được ạ :(((((( huhu :(((((((((({cry}{cry}{cry}
DNS chỉ trả lời là tên miền abcxyz.com gì đó có địa chỉ trong mạng là abc.xyz.e.f gì đó thôi, còn chỉ xong nó có đi qua được không thì có phần của nhà mạng ??. Đường của bố bố không thích cho qua đấy, làm gì được nhau ??
 

Bim Sponges

Rìu Vàng
Ai dùng Cloudfare rồi cho em hỏi về tốc độ nó ntn nhỉ? Với cả có chặn hay nhiều khi bị lỗi gì không? {byebye} Từng dùng đồ GG thấy anh GG có thu thập dữ liệu của mình (chưa thêm DNS), với cả có đợt GG DNS bị gì đó mà tắt DNS của GG đi thì vào web bình thường {angry}
Dạo này 1.1.1.1 dùng trên Windows có vẻ chậm lag hơn bình thường, mình nghĩ có thể do quá nhiều người dùng dồn sang sử dụng nó nên nó quá tải. Còn dùng trên điện thoại thì thấy ổn.
 

Bim Sponges

Rìu Vàng
mình dùng dns 1.1.1.1 chơi pubg mobile bị ping cao. tắt đi lại ngon
Với PUBG bản VNG thì mình nghĩ server nó ở VN nên dùng DNS của IPS (thường là 8.8.8.8 8.8.4.4) thì nó ổn định hơn. Mình cũng có chơi PUBG Mobile VNG bản giả lập trên Tencent và cũng thấy lag khi dùng 1.1.1.1. Mà giờ PUBG hack, cheat đầy, không còn hứng chơi nữa nên nó lag hay không cũng đành kệ. Ngoài nó thì những cái khác trơn tru hơn bình thường.
 

5Characters

Rìu Sắt
Mình vừa mò trong Firefox, nó có tùy chọn mục DNS Over HTTPS. Dùng để ngăn chặn nhà cung cấp dịch vụ có thể biết được bạn truy cập trang nào. Mặc định nó sẽ là Cloudflare. Nhưng sao xem porn vẫn chưa được nhỉ =.=
Lẽ ra không biết thì không chặn được chứ nhỉ =.=
 

Hamano Kaito

Moderator
Mình vừa mò trong Firefox, nó có tùy chọn mục DNS Over HTTPS. Dùng để ngăn chặn nhà cung cấp dịch vụ có thể biết được bạn truy cập trang nào. Mặc định nó sẽ là Cloudflare. Nhưng sao xem porn vẫn chưa được nhỉ =.=
Lẽ ra không biết thì không chặn được chứ nhỉ =.=

DNS qua HTTPS (DoH) là một giao thức dùng để thực hiện phân giải hệ thống tên miền (DNS) từ xa thông qua giao thức HTTPS. Mục tiêu của phương pháp này là làm tăng sự riêng tư và bảo mật cho người dùng bằng cách ngăn chặn việc "NGHE LÉN" và "THAO TÚNG" dữ liệu DNS bằng các cuộc tấn công Trung Gian (từ thứ 3) bằng cách sử dụng giao thức HTTPS để mã hóa dữ liệu giữa máy khách (máy con "Client") DoH và dựa trên DoH của trình phân giải DNS.
Mã hóa của chính bản thân giao thức "không bảo vệ sự riêng tư", đơn giản mã hóa chỉ là một phương pháp làm xáo trộn dữ liệu mà thôi (Để tránh bị "Nghe lén" và "Thao Túng" dữ liệu từ kẻ tấn công).
 

Hamano Kaito

Moderator
Mình dùng DNSCrypt của AdGuard vẫn không vào các trang pỏn được là sao nhỉ? :p Dùng VPN mới được :D

Bạn có nhầm lẫn giữa "Bảo Mật + Riêng Tư" nó khác nhau với "Ẩn Danh" ko vậy ?
Adguard trước kia ko có mã hóa DNS đâu, sau này họ mới thêm vào. Thêm vào thì lỗi càn nhiều.
Thứ nhất là khi sử dụng Proxy hoặc VPN có cấu trúc gán cứng DNS của riêng hãng. Thì lúc này Adguard (bản cài đặt) coi như đơ ra, ko chạy được bộ lọc (mặc dù đặt vào cài đặt bật thêm 2 tính năng lọc giao thức).
Tính ra Adguard Add-on còn ngon hơn Adguard (cài đặt), vì nó ko bị tình trạng như của Adguard cài đặt nhưng Adguard cài đặt nó sẽ thêm nhiều tính năng mà Add-on ko có được
 

phuc365

Búa Gỗ
Bạn có nhầm lẫn giữa "Bảo Mật + Riêng Tư" nó khác nhau với "Ẩn Danh" ko vậy ?
Adguard trước kia ko có mã hóa DNS đâu, sau này họ mới thêm vào. Thêm vào thì lỗi càn nhiều...

Mình nghĩ là VPN là "bảo mật + riêng tư", còn DNSCrypt là ẩn danh không biết đúng không nhỉ? :D

Hiện bản AdGuard mình bật DNSCrypt nó vẫn lọc được quảng cáo mà bạn nhỉ?
 

Hamano Kaito

Moderator
Mình nghĩ là VPN là "bảo mật + riêng tư", còn DNSCrypt là ẩn danh không biết đúng không nhỉ? :D

Hiện bản AdGuard mình bật DNSCrypt nó vẫn lọc được quảng cáo mà bạn nhỉ?

VPN là 3 cái + lại ! VPN nếu chỉ có mỗi Tunnel thì nó ko có tính năng Bảo mật + Riêng tư nhưng nếu đi kèm với DNS của hãng thì sẽ có Bảo Mật + Riêng Tư. Bản thân VPN là Ẩn Danh (Ko hiểu Ẩn Danh thì tìm hiểu trên mạng)
Một số VPN sẽ có cấu hình Firewall Riêng để chặn đến 1 số Domain nào đó. Nhưng ko ngon bằng thông qua DNS
DNSCrypt | bạn vào đây https://vn-z.vn/threads/tong-hop-chia-se-huong-dan.3973/ <== xem mục số 3 có giải thích trong đó
 

phuc365

Búa Gỗ
VPN là 3 cái + lại ! VPN nếu chỉ có mỗi Tunnel thì nó ko có tính năng Bảo mật + Riêng tư nhưng nếu đi kèm với DNS của hãng thì sẽ có Bảo Mật + Riêng Tư. Bản thân VPN là Ẩn Danh (Ko hiểu Ẩn Danh thì tìm hiểu trên mạng)
Một số VPN sẽ có cấu hình Firewall Riêng để chặn đến 1 số Domain nào đó. Nhưng ko ngon bằng thông qua DNS
DNSCrypt | bạn vào đây https://vn-z.vn/threads/tong-hop-chia-se-huong-dan.3973/ <== xem mục số 3 có giải thích trong đó

Thế trên di động Android thì thế nào đây bạn ơi?
 

Hamano Kaito

Moderator
Thế trên di động Android thì thế nào đây bạn ơi?

Nó cũng y chang vậy thôi bạn. Mình nghĩ bạn nên tìm hiểu VPN và DNSCrypt là gì trước đã...
Lúc đấy bạn sẽ hiểu giống y chang mình nói thôi. Giờ có giải thích bạn cử hỏi mãi mà mình chỉ trả lời y chang như vậy thôi. Vì cách thức của nó chỉ có vậy ko trả lời khác được
 

thaolegend

Rìu Sắt
thích chặn ads thì nextdns hoặc adguard
còn free dns mà ngon thì có thể dùng quad9 kiếm cái 9.9.9.11 mà xài ấy cái đó có ecs
 

kemmet

Rìu Sắt Đôi
Hiện nay các nhà mạng ở việt nam đã mở tính năng chuyển hướng DNS về DNS mặc định của nhà mạng rồi. Nên việc các bác set DNS ở máy tính đều không có tác dụng, nó sẽ lại trỏ chuyển tiếp về DNS nhà mạng rồi mới trỏ tiếp DNS đích cuối.
Nếu vẫn muốn dùng DNS riêng tư thì phải cài DNS trực tiếp từ modem hoặc router, hoặc DNS thông qua 1 tunnel DNS của bên thứ 3.
Hoặc giải pháp khác là DoH hay DNS HTTPS