Private DNS là gì? Cách hoạt động và Cách thiết lập
Private DNS là gì?
Private DNS là tính năng mã hóa các truy vấn DNS của bạn để không ai giữa thiết bị và máy chủ DNS có thể nhìn thấy những trang web bạn đang tra cứu. Nó sử dụng các giao thức như DNS over TLS (DoT) hoặc DNS over HTTPS (DoH) để bọc các truy vấn của bạn trong một đường hầm mã hóa.
Nếu không có Private DNS, mọi tên miền bạn nhập vào trình duyệt đều được gửi dưới dạng văn bản thuần (plaintext) qua internet. ISP của bạn, bất kỳ ai trên mạng Wi-Fi và bất kỳ thiết bị trung gian nào trên đường truyền đều có thể đọc và thậm chí chỉnh sửa những truy vấn đó. Private DNS ngăn chặn điều này bằng cách mã hóa kết nối giữa thiết bị của bạn và máy chủ phân giải DNS.
Thuật ngữ 'Private DNS' thường được liên kết với cài đặt trên Android được giới thiệu từ Android 9 Pie (2018), nhưng công nghệ cơ bản -- DNS mã hóa -- có sẵn trên mọi nền tảng lớn bao gồm iOS, Windows, macOS và Linux.
DNS thông thường hoạt động như thế nào (Và tại sao nó là vấn đề)
DNS truyền thống đã gửi truy vấn dưới dạng văn bản thuần từ năm 1987. Khi bạn nhập tên miền vào trình duyệt, thiết bị của bạn gửi truy vấn DNS qua cổng UDP 53 đến máy chủ phân giải DNS (thường là máy chủ của ISP). Máy chủ phân giải trả về địa chỉ IP -- tất cả hoàn toàn không được mã hóa.
Điều này có nghĩa là bất kỳ ai trên đường truyền mạng đều có thể nhìn thấy mọi tên miền bạn truy cập. ISP của bạn có thể xây dựng hồ sơ lướt web hoàn chỉnh. Kẻ tấn công trên Wi-Fi công cộng có thể chặn bắt truy vấn của bạn. Một số ISP thậm chí chiếm quyền phản hồi DNS để chuyển hướng bạn đến trang tìm kiếm hoặc quảng cáo của riêng họ.
DNS cũng dễ bị tấn công đầu độc bộ nhớ đệm (cache poisoning) và giả mạo (spoofing) khi kẻ tấn công gửi phản hồi giả, chuyển hướng bạn đến các trang web độc hại mà bạn không hề biết. DNS truyền thống không có cách tích hợp nào để xác minh rằng phản hồi thực sự đến từ máy chủ DNS thật.
Private DNS hoạt động như thế nào
Private DNS bọc các truy vấn DNS của bạn bên trong một kết nối được mã hóa. Thay vì gửi truy vấn văn bản thuần qua cổng UDP 53, thiết bị của bạn trước tiên thiết lập một phiên mã hóa với máy chủ phân giải DNS, sau đó gửi truy vấn qua đường hầm bảo mật đó.
Máy chủ phân giải DNS giải mã truy vấn của bạn, phân giải tên miền thành địa chỉ IP, mã hóa phản hồi và gửi lại. Toàn bộ quá trình trao đổi không thể nhìn thấy bởi bất kỳ ai giám sát mạng -- họ có thể thấy bạn đang giao tiếp với máy chủ DNS, nhưng không thể thấy những tên miền nào bạn đang truy vấn.
Hiện nay có ba giao thức DNS mã hóa đang được sử dụng: DNS over TLS (DoT), DNS over HTTPS (DoH) và DNS over QUIC (DoQ). Mỗi giao thức có cách tiếp cận khác nhau để mã hóa cùng một truy vấn DNS cơ bản.
DNS over TLS vs DNS over HTTPS vs DNS over QUIC
DoT là giao thức được sử dụng phổ biến nhất cho Private DNS cấp hệ thống (Android, Linux). Nó sử dụng cổng riêng biệt (853), giúp quản trị viên mạng dễ dàng nhận diện và chặn.
DoH được các trình duyệt web ưa chuộng vì nó hòa lẫn với lưu lượng HTTPS thông thường trên cổng 443, khiến việc chặn gần như không thể nếu không muốn làm hỏng toàn bộ web. Chrome, Firefox và Edge đều hỗ trợ DoH mặc định.
DoQ là giao thức mới nhất (2022) và nhanh nhất. Nó sử dụng truyền tải QUIC với mã hóa TLS 1.3 tích hợp và có thể thiết lập kết nối với zero round trip (0-RTT). Android 13+ hỗ trợ DoQ, và các nhà cung cấp như AdGuard dự định làm nó thành giao thức mặc định.
| Tính năng | DNS over TLS (DoT) | DNS over HTTPS (DoH) | DNS over QUIC (DoQ) |
|---|---|---|---|
| RFC | RFC 7858 (2016) | RFC 8484 (2018) | RFC 9250 (2022) |
| Cổng | TCP 853 (riêng biệt) | TCP 443 (chung với HTTPS) | UDP 853 |
| Truyền tải | TLS qua TCP | HTTP/2 hoặc HTTP/3 qua TLS | QUIC (tích hợp TLS 1.3) |
| Có thể chặn? | Dễ -- chỉ cần chặn cổng 853 | Rất khó -- cùng cổng với tất cả HTTPS | Trung bình -- UDP 853 |
| Độ trễ | Thấp | Cao hơn một chút (overhead HTTP) | Thấp nhất (có thể 0-RTT) |
| Sử dụng bởi | Android Private DNS, cấp hệ thống | Trình duyệt (Chrome, Firefox, Edge) | AdGuard, NextDNS, Cloudflare |
| Mức độ phổ biến | Rộng rãi | Rộng rãi | Đang tăng trưởng |
Cách bật Private DNS trên Android
Android hỗ trợ Private DNS tích hợp từ Android 9 Pie (2018). Nó sử dụng DNS over TLS và áp dụng cho toàn hệ thống, tác động đến tất cả ứng dụng.
Bước 1: Mở Cài đặt > Mạng & Internet (hoặc Kết nối trên Samsung)
Bước 2: Chạm Private DNS (bạn có thể cần chạm 'Nâng cao' hoặc 'Cài đặt kết nối khác' trước)
Bước 3: Chọn Tên máy chủ nhà cung cấp Private DNS
Bước 4: Nhập tên máy chủ DoT. Ví dụ:
1dot1dot1dot1.cloudflare-dns.com(Cloudflare),dns.google(Google),dns.quad9.net(Quad9),dns.adguard-dns.com(AdGuard)Bước 5: Chạm Lưu. Android sẽ xác minh kết nối -- nếu thất bại, nó sẽ hiển thị lỗi
Cách bật Private DNS trên iPhone và iPad
Apple không có nút bật/tắt đơn giản như Android. DNS mã hóa trên iOS yêu cầu cài đặt configuration profile hoặc sử dụng ứng dụng DNS.
Cách 1: Ứng dụng DNS -- Cài đặt ứng dụng 1.1.1.1 (Cloudflare), NextDNS hoặc AdGuard từ App Store. Mở ứng dụng và bật DNS mã hóa. Nó sẽ xuất hiện tại Cài đặt > Cài đặt chung > VPN, DNS & Quản lý thiết bị.
Cách 2: Configuration Profile -- Tải tệp
.mobileconfigtừ nguồn đáng tin cậy (như repositorypaulmillr/encrypted-dnstrên GitHub). Vào Cài đặt > Cài đặt chung > VPN, DNS & Quản lý thiết bị, chọn profile đã tải và chạm Cài đặt.Cách 3: DNS theo từng mạng -- Vào Cài đặt > Wi-Fi, chạm biểu tượng (i) bên cạnh mạng của bạn, chạm Cấu hình DNS, chọn Thủ công và thêm địa chỉ IP máy chủ DNS (ví dụ: 1.1.1.1, 1.0.0.1). Lưu ý: cách này KHÔNG mã hóa DNS -- nó chỉ thay đổi máy chủ phân giải.
Cách bật DNS over HTTPS trên Windows 11
Windows 11 hỗ trợ DNS over HTTPS mặc định. Hệ điều hành đi kèm danh sách các nhà cung cấp DoH được nhận diện bao gồm Cloudflare, Google và Quad9.
Bước 1: Mở Cài đặt > Mạng & Internet > Wi-Fi (hoặc Ethernet)
Bước 2: Nhấn Thuộc tính phần cứng cho kết nối của bạn
Bước 3: Nhấn Chỉnh sửa bên cạnh mục gán máy chủ DNS
Bước 4: Chọn Thủ công, bật IPv4
Bước 5: Nhập máy chủ DNS chính (ví dụ:
1.1.1.1), đặt DNS over HTTPS thành Bật (mẫu tự động)Bước 6: Nhập máy chủ DNS phụ (ví dụ:
1.0.0.1), đặt DoH thành BậtBước 7: Nhấn Lưu. Mục DNS bây giờ sẽ hiển thị nhãn Đã mã hóa
# View pre-configured DoH providers in Windows 11
netsh dns show encryption
# Add a custom DoH provider via PowerShell
Add-DnsClientDohServerAddress -ServerAddress '1.1.1.1' -DohTemplate 'https://cloudflare-dns.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $TrueCách bật Private DNS trên macOS
macOS hỗ trợ DNS mã hóa thông qua configuration profile (giống như iOS) hoặc thông qua ứng dụng DNS.
Cách 1: Ứng dụng DNS -- Cài đặt ứng dụng Cloudflare 1.1.1.1 (hoặc tương tự) và bật nó. Ứng dụng sẽ cấu hình DoH hoặc DoT ở cấp hệ thống.
Cách 2: Configuration Profile -- Tải tệp
.mobileconfig, nhấn đúp để cài đặt, sau đó phê duyệt tại Cài đặt hệ thống > Quyền riêng tư & Bảo mật > Profile.Cách 3: Terminal (nâng cao) -- Sử dụng
networksetupđể thay đổi máy chủ DNS, nhưng lưu ý rằng việc thay đổi DNS qua dòng lệnh KHÔNG bật mã hóa. Bạn vẫn cần profile hoặc ứng dụng để có DNS mã hóa.
Các nhà cung cấp Private DNS tốt nhất (2026)
Cloudflare 1.1.1.1 là máy chủ phân giải DNS công cộng nhanh nhất và hỗ trợ cả ba giao thức mã hóa (DoT, DoH, DoQ). Nó cung cấp các phiên bản an toàn cho gia đình: security.cloudflare-dns.com (chặn phần mềm độc hại) và family.cloudflare-dns.com (chặn phần mềm độc hại + nội dung người lớn). Cloudflare cam kết không ghi nhật ký địa chỉ IP của bạn và được kiểm toán hàng năm.
Google Public DNS là máy chủ phân giải công cộng được sử dụng rộng rãi nhất. Nó hỗ trợ DoT và DoH nhưng ghi nhật ký dữ liệu tạm thời trong 24-48 giờ trước khi ẩn danh hóa. Nếu quyền riêng tư tuyệt đối là ưu tiên của bạn, Cloudflare hoặc Quad9 là lựa chọn tốt hơn.
Quad9 hoạt động theo luật pháp Thụy Sĩ với chính sách không ghi nhật ký IP nghiêm ngặt. Nó tự động chặn các tên miền độc hại đã biết sử dụng tình báo mối đe dọa từ hơn 25 công ty an ninh mạng -- là lựa chọn tốt nhất cho người dùng chú trọng bảo mật.
AdGuard DNS chặn quảng cáo và trình theo dõi ở cấp DNS, nghĩa là quảng cáo bị chặn trên toàn bộ thiết bị mà không cần cài đặt ứng dụng chặn quảng cáo. Đây là một trong những nhà cung cấp sớm nhất áp dụng DNS over QUIC và dự định làm DoQ thành giao thức mặc định.
NextDNS mang lại cho bạn quyền kiểm soát nhiều nhất. Bạn có tên máy chủ tùy chỉnh, danh sách chặn có thể cấu hình, phân tích theo từng thiết bị, kiểm soát của phụ huynh và bảng điều khiển để xem chính xác những gì đang bị chặn. Gói miễn phí bao gồm 300.000 truy vấn mỗi tháng.
| Nhà cung cấp | Tên máy chủ DoT | IPv4 | Tốt nhất cho |
|---|---|---|---|
| Cloudflare | 1dot1dot1dot1.cloudflare-dns.com | 1.1.1.1 / 1.0.0.1 | Tốc độ -- máy chủ phân giải công cộng nhanh nhất toàn cầu (~5ms trung bình) |
| dns.google | 8.8.8.8 / 8.8.4.4 | Độ tin cậy -- cơ sở hạ tầng toàn cầu khổng lồ | |
| Quad9 | dns.quad9.net | 9.9.9.9 / 149.112.112.112 | Bảo mật -- chặn tên miền độc hại sử dụng 25+ nguồn tình báo mối đe dọa |
| AdGuard | dns.adguard-dns.com | 94.140.14.14 / 94.140.15.15 | Chặn quảng cáo -- chặn quảng cáo và trình theo dõi ở cấp DNS |
| NextDNS | <YOUR-ID>.dns.nextdns.io | Custom | Tùy chỉnh -- danh sách chặn và phân tích có thể cấu hình hoàn toàn |
Lợi ích của việc sử dụng Private DNS
Bật Private DNS trên thiết bị của bạn mang lại những cải thiện bảo mật và quyền riêng tư ngay lập tức.
Ngăn ISP theo dõi -- ISP của bạn không còn có thể nhìn thấy những tên miền bạn truy vấn hoặc xây dựng hồ sơ lướt web từ lưu lượng DNS của bạn
Ngăn chặn giả mạo DNS -- Xác thực TLS xác minh bạn đang giao tiếp với máy chủ DNS thật, không phải kẻ tấn công
Bảo vệ trên Wi-Fi công cộng -- Những người dùng khác trên cùng mạng không thể chặn bắt truy vấn DNS của bạn
Chặn chiếm quyền DNS -- Truy vấn của bạn không thể bị chuyển hướng âm thầm bởi router bị xâm nhập hoặc mạng độc hại
Vượt qua proxy DNS trong suốt -- Một số ISP chặn DNS trên cổng 53 ngay cả khi bạn sử dụng máy chủ bên thứ ba. DNS mã hóa sử dụng cổng khác, vượt qua các proxy này
Tùy chọn chặn quảng cáo và phần mềm độc hại -- Các nhà cung cấp như AdGuard, NextDNS và Quad9 có thể chặn quảng cáo, trình theo dõi và tên miền độc hại ở cấp DNS
Hoạt động toàn hệ thống -- Sau khi bật, Private DNS bảo vệ tất cả ứng dụng trên thiết bị của bạn, không chỉ trình duyệt
Nhược điểm tiềm ẩn của Private DNS
Private DNS không hoàn hảo. Dưới đây là những đánh đổi bạn nên biết.
Độ trễ nhẹ ở truy vấn đầu tiên -- Quá trình bắt tay TLS thêm khoảng 15-35ms cho truy vấn DNS đầu tiên. Sau đó, kết nối được tái sử dụng và các truy vấn tiếp theo nhanh như bình thường.
Captive portal có thể bị lỗi -- Mạng Wi-Fi tại khách sạn, sân bay và quán cà phê yêu cầu trang đăng nhập thường cần DNS không mã hóa để chuyển hướng bạn. Private DNS có thể ngăn các portal này tải.
Mạng doanh nghiệp có thể chặn -- Bộ phận CNTT cần giám sát DNS để đảm bảo bảo mật. Nhiều mạng doanh nghiệp cố tình chặn DNS mã hóa đến các máy chủ phân giải bên ngoài.
Lo ngại tập trung hóa -- DNS mã hóa khuyến khích sử dụng một số ít máy chủ phân giải lớn (Cloudflare, Google), tập trung lưu lượng DNS vào ít công ty hơn.
Không mã hóa mọi thứ -- Private DNS mã hóa truy vấn tên miền, nhưng ISP của bạn vẫn có thể nhìn thấy các địa chỉ IP bạn kết nối thông qua SNI trong quá trình bắt tay TLS (trừ khi bạn cũng sử dụng ECH).
Vấn đề DNS phân chia (split-horizon) -- Các tổ chức sử dụng DNS nội bộ khác với DNS bên ngoài có thể gặp vấn đề khi thiết bị bỏ qua máy chủ phân giải nội bộ.
'Mạng này đang chặn lưu lượng DNS đã mã hóa' -- Ý nghĩa là gì
Nếu bạn thấy cảnh báo này trên iPhone hoặc Mac, nó có nghĩa là mạng bạn đang kết nối đang ngăn các truy vấn DNS mã hóa của bạn tiếp cận đích. Các truy vấn DNS của bạn đang được gửi dưới dạng văn bản thuần, và bất kỳ ai trên mạng đều có thể nhìn thấy những tên miền bạn truy cập.
Cảnh báo này thường xuất hiện trên mạng doanh nghiệp, Wi-Fi trường học, mạng khách sạn và sân bay có captive portal, và mạng có firmware router cũ không hỗ trợ DNS mã hóa.
Khởi động lại thiết bị và router -- Điều này đặt lại các tiến trình mạng và thường giải quyết các vấn đề tạm thời
Quên mạng Wi-Fi và kết nối lại -- Vào cài đặt Wi-Fi, quên mạng, sau đó kết nối lại
Cập nhật firmware router -- Firmware cũ có thể không xử lý lưu lượng DNS mã hóa đúng cách
Sử dụng VPN -- VPN mã hóa tất cả lưu lượng bao gồm DNS, vượt qua bất kỳ việc chặn DNS nào ở cấp mạng
Chấp nhận trên mạng quản lý -- Trên mạng doanh nghiệp hoặc trường học, việc chặn DNS mã hóa thường là có chủ đích để giám sát bảo mật. Bạn có thể không vượt qua được
Cách kiểm tra Private DNS đang hoạt động
Sau khi bật Private DNS, bạn nên xác minh rằng các truy vấn của bạn thực sự đang được mã hóa và định tuyến qua nhà cung cấp bạn đã chọn.
Trang chẩn đoán Cloudflare -- Truy cập 1.1.1.1/help để xem bạn đang sử dụng DoH, DoT hay DNS văn bản thuần, và máy chủ phân giải nào đang xử lý truy vấn của bạn
Kiểm tra rò rỉ DNS -- Truy cập dnsleaktest.com và chạy bài kiểm tra mở rộng. Nếu bạn chỉ thấy máy chủ của nhà cung cấp bạn đã chọn (không phải của ISP), DNS mã hóa của bạn đang hoạt động chính xác
Sử dụng công cụ DNS Lookup của chúng tôi -- DNS Lookup của DNS Robot cho phép bạn truy vấn các máy chủ DNS cụ thể để xác minh chúng đang phản hồi đúng như mong đợi
Kiểm tra rò rỉ trình duyệt -- Truy cập browserleaks.com/dns để kiểm tra những máy chủ DNS nào trình duyệt của bạn đang sử dụng
# Test DNS over TLS with kdig
kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
# Check which resolver is responding
dig whoami.cloudflare.com TXT @1.1.1.1
# Test DNS over HTTPS with curl
curl -s -H 'accept: application/dns-json' \
'https://cloudflare-dns.com/dns-query?name=example.com&type=A'Kiểm tra cấu hình DNS của bạn
Sử dụng công cụ DNS Lookup của DNS Robot để xác minh cài đặt DNS, kiểm tra máy chủ tên miền nào đang phản hồi và khắc phục sự cố DNS.
Try DNS LookupFrequently Asked Questions
Private DNS trên Android là tính năng tích hợp (từ Android 9) mã hóa các truy vấn DNS của bạn bằng DNS over TLS. Khi được bật, tất cả ứng dụng trên thiết bị của bạn gửi truy vấn DNS qua đường hầm mã hóa, ngăn ISP và nhà quản lý mạng nhìn thấy những trang web bạn truy cập.