"Mạng Này Đang Chặn Lưu Lượng DNS Được Mã Hóa" — Cách Khắc Phục
"Mạng Này Đang Chặn Lưu Lượng DNS Được Mã Hóa" Có Nghĩa Là Gì?
Khi bạn thấy "This network is blocking encrypted DNS traffic" trong cài đặt Wi-Fi, điều đó có nghĩa là thiết bị của bạn đã cố gửi truy vấn DNS qua kênh mã hóa nhưng mạng đã ngăn chặn. Thiết bị chuyển sang gửi truy vấn DNS dưới dạng văn bản thuần, nghĩa là bất kỳ ai trên cùng mạng đều có thể thấy các trang web bạn truy cập.
Apple giới thiệu cảnh báo quyền riêng tư này trong iOS 14 (phát hành tháng 9 năm 2020) và macOS Big Sur tương ứng. Nó xuất hiện trong Settings > Wi-Fi > [tên mạng] dưới dạng "Privacy Warning" trên iPhone và iPad, hoặc trong System Settings > Wi-Fi > Details trên Mac.
Bản thân cảnh báo không làm hỏng kết nối internet. Thiết bị vẫn phân giải tên miền và tải trang web bình thường — chỉ là không có lớp bảo mật bổ sung mà DNS mã hóa cung cấp.
Lưu Lượng DNS Được Mã Hóa Là Gì?
Mỗi khi bạn truy cập một trang web, thiết bị gửi truy vấn DNS để dịch tên miền (như dnsrobot.net) thành địa chỉ IP. DNS truyền thống gửi các truy vấn này dưới dạng văn bản thuần qua cổng 53 — hoàn toàn không mã hóa. Điều này có nghĩa là ISP, quản trị viên mạng, hoặc bất kỳ ai trên cùng Wi-Fi đều có thể thấy mọi tên miền bạn tra cứu.
DNS mã hóa bọc các truy vấn này trong lớp mã hóa, giống như HTTPS bảo vệ lưu lượng web. Thay vì gửi dns-query: dnsrobot.net dưới dạng văn bản thuần, thiết bị mã hóa truy vấn để chỉ máy chủ DNS có thể đọc được.
Có hai giao thức DNS mã hóa chính mà thiết bị Apple hỗ trợ:
DNS-over-HTTPS (DoH) — Gửi truy vấn DNS qua HTTPS trên cổng 443, làm cho chúng không thể phân biệt với lưu lượng web thông thường
DNS-over-TLS (DoT) — Gửi truy vấn DNS qua kết nối TLS trên cổng chuyên dụng 853, cung cấp mã hóa với ranh giới giao thức rõ ràng
Theo dữ liệu radar của Cloudflare, việc áp dụng DNS mã hóa đã tăng trưởng đáng kể từ năm 2020, với DoH chiếm hơn 25% tổng số truy vấn DNS được xử lý bởi các resolver công cộng lớn tính đến năm 2025. Apple, Google và Mozilla đều đã thúc đẩy DNS mã hóa làm mặc định trong hệ sinh thái của họ.
DoH vs DoT: Khác Nhau Như Thế Nào
Cả hai giao thức đều mã hóa truy vấn DNS, nhưng hoạt động khác nhau. Hiểu sự khác biệt giúp bạn chọn giải pháp phù hợp khi khắc phục sự cố chặn.
| Tính năng | DNS-over-HTTPS (DoH) | DNS-over-TLS (DoT) |
|---|---|---|
| Cổng | 443 (dùng chung với HTTPS) | 853 (chuyên dụng) |
| Khả năng nhìn thấy | Hòa lẫn với lưu lượng web — khó phát hiện | Dùng cổng riêng — dễ nhận diện |
| Độ khó chặn | Rất khó chặn mà không phá vỡ HTTPS | Dễ chặn bằng cách lọc cổng 853 |
| Hỗ trợ trình duyệt | Chrome, Firefox, Safari, Edge | Hỗ trợ trình duyệt hạn chế |
| Hỗ trợ OS | iOS 14+, macOS Big Sur+, Android 9+, Windows 11 | iOS 14+, macOS Big Sur+, Android 9+ |
| Tốc độ | Chậm hơn một chút (overhead HTTPS) | Nhanh hơn một chút (wrapper TLS nhẹ hơn) |
| Phù hợp nhất cho | Vượt qua hạn chế mạng | Mã hóa DNS chuyên dụng |
Khi mạng chặn DNS mã hóa, nó thường chặn DoT trước vì cổng 853 dễ nhận diện và lọc. DoH khó chặn hơn vì dùng cùng cổng 443 với tất cả lưu lượng HTTPS — chặn nó sẽ phá vỡ mọi trang web bảo mật. Một số mạng chặn cả hai bằng deep packet inspection (DPI) để phát hiện và loại bỏ truy vấn DNS bất kể cổng nào.
Tại Sao Mạng Chặn DNS Mã Hóa?
Không phải tất cả việc chặn DNS mã hóa đều có ý đồ xấu. Có nhiều lý do chính đáng khiến mạng có thể chặn hoặc can thiệp vào lưu lượng DNS mã hóa:
Mạng doanh nghiệp — Bộ phận IT chặn DNS mã hóa để thực thi chính sách bảo mật, lọc nội dung và phát hiện mối đe dọa. Họ cần khả năng nhìn thấy truy vấn DNS để chặn tên miền malware và ngăn rò rỉ dữ liệu
Router có kiểm soát của phụ huynh — Router có tính năng kiểm soát phụ huynh tích hợp (như Netgear Armor hoặc ASUS AiProtection) chặn truy vấn DNS để lọc danh mục nội dung. DNS mã hóa bỏ qua các bộ lọc này
Lọc nội dung của ISP — Một số ISP sử dụng lọc dựa trên DNS để tuân thủ quy định của chính phủ hoặc chặn các trang web độc hại đã biết. DNS mã hóa ngăn việc lọc này hoạt động
Captive portal Wi-Fi công cộng — Khách sạn, sân bay và quán cà phê sử dụng chặn DNS để chuyển hướng bạn đến trang đăng nhập. DNS mã hóa phá vỡ cơ chế chuyển hướng này
Firmware router lỗi thời — Router cũ có thể không hiểu gói DNS mã hóa và loại bỏ chúng như lưu lượng bị lỗi, ngay cả khi không cố ý chặn
Pi-hole và AdGuard Home — Trình chặn quảng cáo dựa trên DNS cần thấy truy vấn DNS để lọc quảng cáo. Chúng chặn DNS mã hóa đến máy chủ bên ngoài để tất cả truy vấn đi qua bộ lọc cục bộ
Nguyên nhân phổ biến nhất cho người dùng gia đình đơn giản là router lỗi thời không xử lý đúng gói DNS mã hóa. Cập nhật firmware thường giải quyết vấn đề mà không cần thay đổi khác.
Cách Khắc Phục Trên iPhone & iPad (iOS/iPadOS)
Các cách sửa được liệt kê theo thứ tự từ đơn giản nhất đến kỹ lưỡng nhất. Bắt đầu từ Cách 1 và thực hiện xuống cho đến khi cảnh báo biến mất.
Cách 1: Khởi Động Lại Thiết Bị và Router
Khởi động lại đơn giản xóa trạng thái mạng đã lưu trên cả thiết bị và router. Điều này giải quyết cảnh báo trong khoảng 30–40% trường hợp, đặc biệt sau khi firmware router tự động cập nhật hoặc ISP bảo trì.
iPhone/iPad: Giữ nút bên + nút âm lượng > trượt để tắt > đợi 30 giây > bật lại
Router: Rút cáp nguồn > đợi 30 giây > cắm lại > đợi 2 phút để khởi động hoàn toàn
Sau khi cả hai thiết bị khởi động lại, vào Settings > Wi-Fi và nhấn vào tên mạng. Kiểm tra xem thông báo "Privacy Warning" có còn hiện không.
Cách 2: Quên và Kết Nối Lại Mạng Wi-Fi
Quên mạng xóa tất cả cấu hình đã lưu (bao gồm cài đặt DNS đã lưu) và buộc thiết bị thương lượng kết nối mới.
# iOS path:
Settings > Wi-Fi > tap (i) next to network name > Forget This Network > Confirm
# Then reconnect:
Settings > Wi-Fi > select your network > enter passwordCách 3: Cập Nhật iOS/iPadOS Lên Phiên Bản Mới Nhất
Apple thường xuyên cải thiện xử lý DNS mã hóa trong các bản cập nhật iOS. Phiên bản trước (iOS 14.0–14.3) có vấn đề đã biết với cảnh báo dương tính giả và thương lượng DoH/DoT không nhất quán.
Vào Settings > General > Software Update và cài đặt bản cập nhật có sẵn. Tính đến tháng 3 năm 2026, iOS 18 bao gồm hành vi fallback DNS mã hóa được cải thiện và tương thích tốt hơn với mạng doanh nghiệp.
Cách 4: Cấu Hình Máy Chủ DNS Thủ Công
Nếu DNS của router không hỗ trợ mã hóa, bạn có thể ghi đè ở cấp thiết bị bằng cách đặt nhà cung cấp DNS mã hóa công cộng.
# iOS DNS configuration path:
Settings > Wi-Fi > tap (i) next to network > Configure DNS > Manual
# Delete existing DNS servers, then add:
# For Cloudflare (fastest, privacy-focused):
1.1.1.1
1.0.0.1
# For Google (reliable, global coverage):
8.8.8.8
8.8.4.4
# For Quad9 (malware blocking built-in):
9.9.9.9
149.112.112.112Điều này yêu cầu iPhone gửi truy vấn DNS đến máy chủ được chỉ định thay vì máy chủ mà mạng gán qua DHCP. Lưu ý rằng cài đặt này là theo từng mạng — bạn cần cấu hình cho mỗi mạng Wi-Fi riêng biệt.
Cách 5: Đặt Lại Cài Đặt Mạng
Nếu không có cách sửa nào ở trên hoạt động, đặt lại cài đặt mạng xóa tất cả mạng Wi-Fi đã lưu, cấu hình VPN và cài đặt di động, cho thiết bị trạng thái mạng hoàn toàn sạch.
# iOS 16+:
Settings > General > Transfer or Reset iPhone > Reset > Reset Network Settings
# iOS 15 and earlier:
Settings > General > Reset > Reset Network SettingsSau khi đặt lại, thiết bị khởi động lại. Bạn sẽ cần kết nối lại tất cả mạng Wi-Fi và nhập lại mật khẩu. Cấu hình VPN cũng cần được thiết lập lại.
Cách Khắc Phục Trên Mac (macOS)
Cảnh báo tương tự xuất hiện trên Mac trong System Settings > Wi-Fi > Details (macOS Ventura trở lên) hoặc System Preferences > Network > Wi-Fi > Advanced (phiên bản cũ hơn). Người dùng Mac có thêm tùy chọn ngoài những gì iOS cung cấp.
Thay Đổi DNS Trên Mac Qua System Settings
macOS cho phép bạn đặt máy chủ DNS toàn cục, áp dụng cho tất cả mạng.
# macOS Ventura+ (System Settings):
System Settings > Wi-Fi > Details (next to network) > DNS tab
Remove existing servers, add: 1.1.1.1 and 1.0.0.1
# Alternatively, use Terminal:
sudo networksetup -setdnsservers Wi-Fi 1.1.1.1 1.0.0.1
# Verify the change:
networksetup -getdnsservers Wi-Fi
# Expected output:
# 1.1.1.1
# 1.0.0.1Xóa Cache DNS Trên Mac
Sau khi thay đổi máy chủ DNS, xóa cache DNS cục bộ để đảm bảo Mac sử dụng máy chủ mới ngay lập tức.
# macOS Ventura / Sonoma / Sequoia:
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
# Verify DNS resolution is working:
nslookup dnsrobot.net 1.1.1.1
# Should return: Address: 195.250.20.4Cách Khắc Phục Trên Router
Khắc phục vấn đề ở cấp router là giải pháp lâu dài tốt nhất vì nó áp dụng cho mọi thiết bị trên mạng. Đây là hai cách sửa ở cấp router hiệu quả nhất.
Cập Nhật Firmware Router
Firmware lỗi thời là nguyên nhân phổ biến nhất gây chặn DNS mã hóa trên mạng gia đình. Các nhà sản xuất router đã phát hành bản cập nhật firmware để xử lý đúng lưu lượng DoH và DoT.
ASUS: Bảng quản trị router (192.168.1.1) > Administration > Firmware Upgrade > Check for update
TP-Link: tplinkwifi.net > System Tools > Firmware Upgrade (hoặc dùng ứng dụng Tether)
Netgear: routerlogin.net > Administration > Firmware Update > Check Online
Linksys: 192.168.1.1 > Connectivity > Router Firmware Update
Thay Đổi Máy Chủ DNS Trên Router
Thay đổi DNS ở cấp router có nghĩa là mọi thiết bị trên mạng (điện thoại, laptop, smart TV, thiết bị IoT) tự động sử dụng máy chủ DNS nhanh hơn, mã hóa.
# Typical router DNS configuration:
# 1. Open router admin panel: http://192.168.1.1 or http://192.168.0.1
# 2. Navigate to: WAN Settings > DNS Configuration
# 3. Change from "Get from ISP" to "Manual"
# 4. Enter DNS servers:
Primary DNS: 1.1.1.1 (Cloudflare)
Secondary DNS: 8.8.8.8 (Google)
# Alternative: Quad9 with malware blocking
Primary DNS: 9.9.9.9
Secondary DNS: 149.112.112.112
# 5. Save and reboot routerSau khi thay đổi DNS router, tất cả thiết bị trên mạng sẽ sử dụng máy chủ mới. Cảnh báo DNS mã hóa sẽ biến mất trên thiết bị Apple trong vài phút sau khi kết nối lại.
Máy Chủ DNS Tốt Nhất Hỗ Trợ Mã Hóa
Không phải tất cả máy chủ DNS đều hỗ trợ DoH hoặc DoT. Nếu bạn đang chuyển DNS để sửa cảnh báo DNS mã hóa, hãy chọn nhà cung cấp hỗ trợ mã hóa nguyên bản.
| Nhà cung cấp | IPv4 Chính | IPv4 Phụ | DoH | DoT | Đặc điểm |
|---|---|---|---|---|---|
| Cloudflare | 1.1.1.1 | 1.0.0.1 | Có | Có | Nhanh nhất (trung bình 11ms), ưu tiên quyền riêng tư |
| Google Public DNS | 8.8.8.8 | 8.8.4.4 | Có | Có | Đáng tin cậy nhất, anycast toàn cầu |
| Quad9 | 9.9.9.9 | 149.112.112.112 | Có | Có | Chặn malware, phi lợi nhuận |
| Cloudflare Family | 1.1.1.3 | 1.0.0.3 | Có | Có | Chặn malware + nội dung người lớn |
| AdGuard DNS | 94.140.14.14 | 94.140.15.15 | Có | Có | Chặn quảng cáo + trình theo dõi |
| NextDNS | Tùy chỉnh | Tùy chỉnh | Có | Có | Lọc tùy chỉnh, phân tích |
Tất cả nhà cung cấp trên đều hỗ trợ cả DoH và DoT, nghĩa là thiết bị Apple sẽ tự động sử dụng DNS mã hóa khi được cấu hình với các máy chủ này. Cloudflare và Google là lựa chọn an toàn nhất để tương thích tối đa.
Cách Xác Minh DNS Mã Hóa Đang Hoạt Động
Sau khi áp dụng các bản sửa, xác minh rằng truy vấn DNS thực sự đang được mã hóa. Đây là các phương pháp cho từng nền tảng.
Xác Minh Trên iPhone/iPad
Trên iOS, cách kiểm tra đơn giản nhất là bản thân cảnh báo:
Vào Settings > Wi-Fi và nhấn (i) bên cạnh tên mạng
Nếu thông báo "Privacy Warning" / "This network is blocking encrypted DNS traffic" đã biến mất, mã hóa đang hoạt động
Bạn cũng có thể truy cập 1.1.1.1/help trong Safari — nó cho biết bạn có đang sử dụng DoH/DoT và resolver DNS nào đang xử lý truy vấn
Xác Minh Trên Mac
Trên macOS, bạn có thể sử dụng Terminal để xác minh phân giải DNS và kiểm tra xem mã hóa có đang hoạt động không.
# Check which DNS servers are active:
scutil --dns | grep nameserver
# Test DNS resolution through Cloudflare DoH:
curl -s -H 'accept: application/dns-json' 'https://1.1.1.1/dns-query?name=dnsrobot.net&type=A' | python3 -m json.tool
# Check if DoH is working via Cloudflare's test page:
open https://1.1.1.1/helpKhi Nào Cảnh Báo Này Là Bình Thường (và An Toàn Để Bỏ Qua)
Cảnh báo DNS mã hóa không phải lúc nào cũng là vấn đề cần khắc phục. Trong một số tình huống, mạng cố ý chặn DNS mã hóa vì lý do bảo mật hợp lệ.
Mạng doanh nghiệp/văn phòng — Đội IT công ty chặn DNS mã hóa để giám sát malware và thực thi chính sách bảo mật. Đây là thực hành tiêu chuẩn và không có nghĩa là dữ liệu của bạn gặp rủi ro
Mạng trường học/đại học — Cơ sở giáo dục chặn DNS mã hóa để thực thi lọc nội dung theo yêu cầu của quy định
Người dùng Pi-hole hoặc AdGuard Home — Nếu bạn chạy trình chặn quảng cáo dựa trên DNS cục bộ, nó cố ý chặn DNS mã hóa đến máy chủ bên ngoài để có thể lọc quảng cáo. Đây là theo thiết kế
Wi-Fi khách sạn và sân bay — Các mạng này sử dụng captive portal cần chặn DNS để chuyển hướng bạn đến trang đăng nhập. Cảnh báo sẽ xuất hiện cho đến khi bạn xác thực
Trong những trường hợp này, bạn có thể an toàn tiếp tục sử dụng mạng. Truy vấn DNS không được mã hóa, nhưng bản thân mạng cung cấp mức độ quản lý và bảo mật bù đắp. Rủi ro chính của DNS không mã hóa là trên mạng công cộng không tin cậy nơi ai đó có thể rình truy vấn của bạn.
Câu Hỏi Thường Gặp
Kiểm tra cấu hình DNS của bạn ngay
Sử dụng công cụ DNS Lookup miễn phí của DNS Robot để xác minh bản ghi DNS, kiểm tra trạng thái phổ biến và xác nhận máy chủ DNS đang phản hồi đúng.
Try DNS LookupFrequently Asked Questions
Nó có nghĩa là mạng Wi-Fi đang ngăn thiết bị Apple sử dụng DNS-over-HTTPS (DoH) hoặc DNS-over-TLS (DoT) để mã hóa truy vấn DNS. Internet vẫn hoạt động, nhưng tra cứu DNS được gửi dưới dạng văn bản thuần, nghĩa là người khác trên mạng có thể thấy trang web bạn truy cập.