Máy chủ DNS tốt nhất để duyệt web an toàn

Tác giả sysadmin, T.Tư 14, 2023, 10:27:30 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Máy chủ DNS tốt nhất để duyệt web an toàn


Bộ định tuyến của bạn thực hiện các yêu cầu DNS khi bạn duyệt web. Tuy nhiên, theo mặc định, ISP của bạn sẽ thấy tất cả các tìm kiếm và địa chỉ web của bạn. Bạn có thể thay đổi cài đặt DNS của mình để tăng tính bảo mật và quyền riêng tư.


1. Máy chủ DNS là gì?

Máy chủ DNS (Dynamic Name System) là một dịch vụ tự động dịch địa chỉ web mà con người có thể đọc được thành địa chỉ IP. Điều đó quan trọng bởi vì, trong nhà của bạn và ngoài internet, mọi thiết bị mạng đều có một địa chỉ IP. Sử dụng địa chỉ IP như con người sẽ rất tẻ nhạt. Ngay cả khi chúng tôi có thể nhớ chúng, chúng tôi sẽ gõ nhầm chúng. Đó là lý do tại sao Hệ thống tên miền được nghĩ ra.

Khi bạn cố gắng kết nối với một trang web, bộ định tuyến của bạn sẽ kiểm tra xem liệu thông tin chi tiết của trang web đó có trong bộ nhớ cache hay không. Nếu không, nó sẽ yêu cầu DNS bằng cách gửi tên miền của trang web đến máy chủ DNS. Máy chủ DNS tra cứu tên miền, tìm địa chỉ IP và gửi địa chỉ đó trở lại bộ định tuyến của bạn để máy chủ này có thể cố gắng kết nối với máy chủ web lưu trữ trang web.

Trong thực tế, nó phức tạp hơn. Theo mặc định, máy chủ DNS mà bộ định tuyến của bạn kết nối tới là máy chủ tiền thân DNS do nhà cung cấp dịch vụ internet của bạn cung cấp.

Nếu máy chủ tiền thân không lưu thông tin chi tiết của trang web trong bộ nhớ cache của chính nó, thì nó sẽ gửi yêu cầu đến máy chủ định danh gốc DNS. Máy chủ định danh gốc phản hồi máy chủ tiền thân với danh sách các máy chủ miền cấp cao nhất có thể xử lý miền cấp cao nhất (.COM,.INFO,.ORG, v.v.) của trang web được yêu cầu. Máy chủ tiền thân lặp lại yêu cầu của nó tới một trong những máy chủ miền cấp cao nhất trong danh sách đó.

Máy chủ miền cấp cao nhất phản hồi với tên của máy chủ tên miền có thẩm quyền DNS thực sự chứa thông tin chi tiết của miền. Sau đó, máy chủ tiền thân đưa ra yêu cầu của nó một lần nữa, tới máy chủ định danh có thẩm quyền, để cuối cùng lấy địa chỉ IP.

Trong ví dụ của chúng tôi, một người đang cố truy cập một trang web, nhưng điều này cũng đúng với bất kỳ tài nguyên web nào được xác định bằng tên miền, chẳng hạn như máy chủ email.

2. DNS, Bảo mật và Quyền riêng tư

Việc sử dụng máy chủ DNS mặc định của ISP của bạn có ý nghĩa đối với quyền riêng tư và bảo mật.

Dữ liệu trong các yêu cầu DNS không được mã hóa, ngay cả khi một số siêu dữ liệu đính kèm được mã hóa. Một  cuộc tấn công trung gian  hoặc một nhân viên tò mò của ISP của bạn có thể vạch trần và xem xét hoạt động trực tuyến của bạn rất dễ dàng. Điều đó đã đủ tệ rồi, nhưng việc sử dụng máy chủ DNS của ISP cũng có thể làm suy yếu khả năng bảo mật của bạn.

Một số cuộc tấn công mạng tập trung vào DNS phổ biến nhất là:

  • Từ chối dịch vụ phân tán : Điều này tạo ra vô số yêu cầu giả mạo áp đảo máy chủ DNS, khiến máy chủ DNS không thể phục vụ các yêu cầu chính hãng.
  • Giả mạo/Đầu độc DNS : Điều này tạo ra các phản hồi DNS sai, độc hại mà bộ định tuyến của bạn hoạt động dựa trên đó. Tội phạm mạng có thể đưa người dùng đến các trang web lừa đảo thay vì các trang web chính hãng. Đây có thể là các trang web lừa đảo thu thập thông tin đăng nhập.
  • Xâm nhập DNS : Phần mềm độc hại lây nhiễm vào máy tính của bạn và thay đổi cài đặt TCP/IP cũng như hành vi để các yêu cầu DNS được chuyển hướng đến máy chủ DNS lừa đảo của tội phạm mạng. Những yêu cầu web chuyển hướng này đến các trang web lừa đảo hoặc độc hại khác.
  • Cướp tên miền : Đây là hình thức tấn công hiếm gặp hơn. Nó yêu cầu thay đổi các chi tiết trong hệ thống của công ty đăng ký tên miền để các chi tiết được lưu trữ của một trang web hợp pháp được hướng tới một trang web giả mạo.

Không có bảo mật thực sự trong DNS tiêu chuẩn. Tất cả những gì nó có thể làm là kiểm tra xem phản hồi từ máy chủ xuôi dòng có đến từ cùng một địa chỉ IP mà yêu cầu đã được gửi đến hay không. Đó là một cái gì đó, nhưng nó hầu như không triệt để.

Phần  mở rộng bảo mật hệ thống tên miền, hay DNSSEC, được phát triển để thêm chữ ký số vào các yêu cầu DNS. Điều này cho phép các máy chủ DNS kiểm tra xem dữ liệu họ nhận được có chắc chắn đến từ nơi mà nó tuyên bố đến từ đó hay không. Điều này được gọi là  xác thực nguồn gốc dữ liệu. Ngoài ra, người nhận có thể xác minh rằng dữ liệu không bị sửa đổi trong quá trình truyền. Điều này được gọi là  bảo vệ toàn vẹn dữ liệu.

DNS qua HTTPS, DoH, là một giao thức mới mã hóa các yêu cầu DNS và lưu lượng truy cập giữa các máy chủ. Tuy nhiên, các yêu cầu DNS đã ghi và lưu trong bộ nhớ đệm không được mã hóa. Chúng chỉ được mã hóa khi chuyển tiếp. Và tất nhiên, hầu hết các ISP đều ghi nhật ký mọi thứ họ có thể và không phải tất cả họ đều hỗ trợ DNSSEC và DoH.

3. Máy chủ DNS tốt nhất để duyệt web an toàn

Các máy chủ DNS công cộng sẽ riêng tư hơn, an toàn hơn và nhanh hơn so với dịch vụ mặc định của ISP của bạn. Dưới đây là năm trong số các máy chủ DNS tốt nhất mà chúng tôi khuyên dùng:

3.1. OpenDNS Home

  • DNS chính : 208.67.222.222
  • DNS phụ : 208.67.220.220

OpenDNS đã được Cisco mua  vào năm 2015. Phần "Mở" có nghĩa là nó chấp nhận các yêu cầu DNS từ mọi nơi. Nó không có gì để làm với mã nguồn mở. OpenDNS có các tầng trả phí và miễn phí.

Cisco đã xây dựng tên tuổi của mình trên các sản phẩm và bí quyết mạng hàng đầu. Cisco biết nhiều về mạng và định tuyến lưu lượng như bất kỳ công ty nào trên hành tinh. Nó có sự hiện diện toàn cầu và cung cấp dịch vụ DNS vững chắc.

OpenDSN Home hỗ trợ DoH và DNSSEC. Nó cũng đi kèm với tính năng lọc nội dung và bảo vệ khỏi phần mềm độc hại/lừa đảo. Bạn không thể từ chối nó. Bạn có một số quyền kiểm soát đối với cài đặt của họ, nhưng không nhiều như bạn làm trên một trong các bậc trả phí của họ.

Có lẽ đáng lo ngại hơn, OpenDNS ghi lại  các truy vấn DNS, địa chỉ IP của bạn, v.v. và nó đặt cái mà nó gọi là "đèn hiệu web" trên các trang bạn đã truy cập.

OpenDNS nhanh và an toàn, nhưng những lo ngại về quyền riêng tư của nó sẽ khiến một số người không thích.

3.2. DNS công cộng của Google

  • DNS chính : 8.8.8.8
  • DNS phụ : 8.8.4.4

DNS công cộng của Google  miễn phí cho tất cả mọi người, kể cả việc sử dụng trong kinh doanh. Đây là một dịch vụ mạnh mẽ và đáng tin cậy với thời gian phản hồi nhanh. Và tất nhiên, bạn có thể chắc chắn rằng Google sẽ không biến mất.

DNS công cộng của Google hỗ trợ nhiều giao thức tra cứu bao gồm cả DNS qua HTTPS và nó cũng hỗ trợ DNSSEC. Nó cũng bao gồm một số bảo vệ chống lại các cuộc tấn công DDoS.

Vấn đề duy nhất với DNS của Google là Google. Mọi người đều biết nó tạo ra doanh thu bằng cách thu thập dữ liệu và sử dụng nó để nhắm mục tiêu quảng cáo. Nó cũng chia sẻ dữ liệu, với một khoản phí, với các bên thứ ba. Vì vậy, Google đạt điểm cao về tính mạnh mẽ và bảo mật, nhưng không cao về quyền riêng tư.

Google nói rằng dữ liệu mà nó thu thập được ẩn danh, không có thông tin nhận dạng cá nhân trong đó, vì vậy điều đó có thể không làm phiền bạn. Nếu bạn đã sử dụng các sản phẩm của Google như Gmail, Android hoặc công cụ tìm kiếm web của Google, thì Google sẽ không tìm hiểu thêm về bạn nhiều hơn so với những gì đã làm.

Tuy nhiên, nếu bạn không muốn tương tác với bộ máy công ty "công nghệ lớn, dữ liệu lớn, anh lớn" của họ, Google sẽ không dành cho bạn.

3.3. Cloudflare

  • DNS chính : 1.1.1.1
  • DNS phụ : 1.0.0.1

Cloudflare được biết đến nhiều nhất với tư cách là nhà cung cấp mạng phân phối nội dung, chia sẻ tải lưu lượng truy cập trang web trên các phiên bản được nhân đôi, phân tán và bảo vệ chống lại các cuộc tấn công DDoS ở hầu hết mọi mức độ.

Nó có  hiệu suất DNS nhanh nhất  và cam kết công khai không bao giờ ghi lại địa chỉ IP của bạn và xóa nhật ký hoạt động sau mỗi 24 giờ. Điều này được kiểm chứng độc lập bởi  KPMG.

Nó không gói nội dung lọc và chặn theo mặc định, nhưng bạn có thể có nó nếu muốn. Để kích hoạt nó, bạn chỉ cần sử dụng máy chủ DNS chính và phụ thay thế của Cloudflare.

Cloudflare DNS có thể khó thiết lập và trang web Cloudflare không phải là trang trực quan nhất để điều hướng. Tuy nhiên, khi nó đang chạy, bạn đang sử dụng DNS nhanh nhất hiện có, với phần thưởng là nó tôn trọng quyền riêng tư của bạn.

3.4. DNSWatch

  • DNS chính : 84.200.69.80
  • DNS phụ : 84.200.70.40

DNSWatch cho biết nó hỗ trợ tính trung lập ròng và nó không cố gắng lọc bất kỳ nội dung nào bằng các máy chủ DNS của nó. Nó cũng không ghi lại bất kỳ truy vấn DNS hoặc lịch sử người dùng nào. DNSWatch sẽ không bao giờ chia sẻ hoặc bán dữ liệu của bạn vì nó không thu thập bất kỳ dữ liệu nào.

Nó hỗ trợ DNSSEC và DoH, nhưng bất kỳ điều gì khác như bảo vệ chống lại các trang web lừa đảo hoặc trang web chứa phần mềm độc hại đều tùy thuộc vào bạn. Một điều mà nó quảng bá là nó từ chối thực hiện bất kỳ hành vi chiếm quyền điều khiển nào đối với các yêu cầu không thành công.

Thông thường, một ISP sẽ đưa bạn đến một trang tìm kiếm được tài trợ nếu trang web bạn đang cố truy cập không phản hồi. Mọi thứ được nhập vào trang web đó đều được ISP của bạn ghi lại. DNSWatch không làm điều đó, nó hiển thị cho bạn trang kết nối kém mặc định của trình duyệt.

3.5. Quad9

  • DNS chính : 9.9.9.9
  • DNS phụ : 149.112.112.112

Mặc dù trụ sở chính của Quad9 ở châu Âu nhưng nó có 183 cụm trình phân giải DNS ở 90 quốc gia trên toàn cầu. Đó là một dịch vụ miễn phí. Máy chủ của nó ghi lại dữ liệu giao dịch và hiệu suất, nhưng không phải thông tin nhận dạng cá nhân. Nó ghi nhật ký dấu thời gian, giao thức vận chuyển, miền được yêu cầu và vị trí địa lý của chúng, v.v.

Theo mặc định, nó cung cấp khả năng bảo mật ngoài DNSSEC và DoH, bằng cách chặn các trang web xấu đã biết chứa phần mềm độc hại hoặc thu thập thông tin đăng nhập của người dùng. Danh sách các trang web bị chặn được thu thập từ hơn 20 nguồn thông tin tình báo công cộng và thương mại. Nó không lọc hoặc chặn nội dung, quảng cáo hoặc trình theo dõi web mà chỉ chặn các trang web độc hại.

Nếu bạn không muốn kích hoạt tính năng chặn này, bạn có thể sử dụng các địa chỉ IP chính và phụ thay thế của nó.

Về tốc độ, thời gian phản hồi trung bình của Quad9 là 21mS và nó có thời gian hoạt động 99,94%. Google và Cloudflare có thời gian phản hồi trong khoảng 10mS, đây là điểm vượt trội của họ: tốc độ thô. Tuy nhiên, 21mS vẫn rất nhanh. Trong hoạt động bình thường, bạn sẽ không nhận thấy bất kỳ sự khác biệt nào giữa hai loại này.

4. Thử chúng đi; Chúng được miễn phí

Vì các nhà cung cấp này đều có dịch vụ DNS miễn phí nên bạn có thể chọn một nhà cung cấp và dùng thử. Hoặc thử một số. Chúng tôi có các hướng dẫn bao gồm nhiều nền tảng khác nhau:

  • Cách thay đổi máy chủ DNS của bạn trên Windows 10
  • Cách thay đổi máy chủ DNS của bạn trên Windows 11
  • Cách thay đổi máy chủ DNS của bạn trên Chromebook
  • Cách thay đổi máy chủ DNS của bạn trên máy Mac
  • Cách thay đổi máy chủ DNS của bạn trên Android
  • Cách thay đổi máy chủ DNS của bạn trên iPhone hoặc iPad

Chỉ cần nhớ rằng bảo mật và quyền riêng tư không giống nhau và chúng không phải lúc nào cũng được mọi nhà cung cấp DNS chú ý như nhau.