Skip to content

DNS Encryption

Jump to bottom
BigDargon edited this page Sep 20, 2022 · 5 revisions

Bài viết dưới đây giải thích mã hóa DNS là gì, tại sao phải mã hóa DNS khi truy vấn và các vấn đề liên quan đến mã hóa DNS. Bài viết có tham khảo, sử dụng nguồn từ các bài viết trên internet.

Với trình độ tiếng Anh ít ỏi và kiến thức hạn hẹp nên bài viết sẽ không thể tránh khỏi nhiều thiếu sót. Nếu có vấn đề gì sai sót trong quá trình viết bài, vui lòng cho mình biết để chỉnh sửa. Cám ơn!

Mã hóa DNS

DNS được ví như cuốn danh bạ của Internet. Trình phân giải DNS dịch các tên miền mà chúng ta hiểu và gõ sang địa chỉ IP máy tính hiểu. Mặc định, DNS được truy vấn và phản hồi dưới dạng văn bản thô, điều này có nghĩa chúng có thể được đọc bởi bất kỳ ai trong mạng (kể cả nội bộ và internet) hay nhà mạng.

Như vậy, DNS sẽ không còn riêng tư nếu mọi người đều có thể theo dõi truy vấn và phản hồi của bạn và nguy hiểm hơn là chúng bị những kẻ tấn công cố ý thay đổi phản hồi truy vấn trước khi nhận được.

DNS qua TLS và DNS qua HTTPS là hai tiêu chuẩn được phát triển để mã hóa lưu lượng DNS nhằm ngăn bên thứ ba có thể diễn giải dữ liệu.

Các loại giao thức DNS

  • DNS-over-53 (gọi tắt là Do53) là DNS không mã hóa được truyền trên cổng 53 dưới dạng văn bản thô.
  • DNS-over-HTTPS (DoH) là DNS mã hóa được truyền trên cổng 443, với giao thức TCP. (Xem thêm RFC 8484)
  • DNS-over-HTTP/3 (DoH3) là DNS mã hóa được truyền trên cổng 443, với giao thức UDP.
  • DNS-over-TLS (DoT) là DNS mã hóa được truyền trên cổng 853, với giao thức TCP. (Xem thêm RFC 8310)
  • DNS-over-QUIC (DoQ) là DNS mã hóa được truyền trên cổng 853, với giao thức UDP.

So sánh

(Đang cập nhật)

Ưu và nhược điểm

(Đang cập nhật)

FAQ

Q: Mã hóa DNS có ẩn được truy vấn và phản hồi DNS không?

A: Có. Quá trình truy vấn và phản hồi DNS sẽ không có bên thứ 3 đọc/chỉnh sửa.

Q: Nhà mạng biết được đỉa chỉ IP mà chúng ta kết nối, vậy nhà mạng biết được tên miền ta truy vấn không?

A: Tùy trường hợp. Khi phân giải được địa chỉ IP để kết nối, nhà mạng dùng bản ghi PTR để suy ngược tên máy chủ đó nhưng hầu hết tên máy chủtên miền truy vấn không giống nhau. VD: Khi phân giải tên miền www.facebook.com thiết bị kết nối đến địa chỉ 31.13.88.35, nhà mạng sẽ truy vấn ngược từ địa chỉ IP 35.88.13.31.in-addr.arpa với kết quả edge-star-mini-shv-02-atl3.facebook.com. Như vậy, tên miền truy vấn ban đầu và tên máy chủ mà nhà mạng truy vấn được không giống nhau.

Hits Copyright © BigDargon.

Clone this wiki locally