Lý do ISP hy vọng bạn không biết tại sao các giao thức mã hóa DNS lại khác nhau

Mặc dù chúng ta sử dụng các địa chỉ web dễ nhớ, nhưng Internet thực sự hoạt động trên một hệ thống địa chỉ IP và máy chủ từ xa. Đằng sau đó, nó phụ thuộc vào Domain Name System (DNS), hệ thống này chuyển đổi các tên miền đó thành địa chỉ IP - một định dạng mà thiết bị của bạn có thể hiểu được.

Tin tốt là bạn có thể mã hóa các yêu cầu DNS đó để ngăn những con mắt tò mò nhìn thấy các trang web và dịch vụ bạn đang sử dụng. Tin xấu là việc này không đơn giản chỉ là bật công tắc và tất cả các yêu cầu DNS của bạn được bảo vệ. Mặc dù một số phương pháp bảo vệ bạn khỏi ISP, nhưng những phương pháp khác vẫn để lộ siêu dữ liệu và các kiểu sử dụng khiến việc tìm ra bạn là ai và ở đâu trở nên dễ dàng. Đây là lý do tại sao việc hiểu rõ sự khác biệt giữa các phương pháp mã hóa DNS lại quan trọng đến vậy! Nếu bạn cho rằng mã hóa đồng nghĩa với quyền riêng tư, dữ liệu của bạn sẽ rơi vào tay kẻ xấu.

Nhà cung cấp dịch vụ Internet (ISP) và giao thức DNS

ISP quan tâm đến giao thức DNS bạn sử dụng

Lưu lượng DNS là cách dễ nhất để ISP xác định trang web bạn truy cập. Khi bạn nhập tên miền vào trình duyệt, ngay cả khi bạn được bảo vệ bằng HTTPS, yêu cầu DNS tiếp theo có thể hiển thị trang web bạn đang cố gắng truy cập. Nó có thể không hiển thị các trang cụ thể trên trang web bạn đang truy cập, nhưng nhìn chung sẽ hiển thị domain bạn đang truy cập. ISP có thể sử dụng mức độ hiển thị này cho mục đích quản lý mạng. Nó cũng có thể là một nguồn doanh thu; Ủy ban Thương mại Liên bang đã báo cáo rằng các ISP chèn quảng cáo và kiếm tiền từ dữ liệu truy vấn DNS.

Các ISP sẽ khó tiếp tục mô hình kinh doanh này hơn nếu những truy vấn DNS của bạn được mã hóa. Bạn có thể sử dụng các giao thức như DNS over HTTPS (DoH) và DNS over TLS (DoT) để gây khó khăn cho ISP và bất kỳ ai không ở trên mạng trong việc xem tên miền bạn tra cứu. Điều này loại bỏ hoàn toàn nguồn doanh thu truyền thống của các ISP, đồng thời mang lại lợi ích về quyền riêng tư cho bạn, mặc dù nó chuyển niềm tin sang một bên thứ ba để giải quyết DoH/DoT (ví dụ: Cloudflare, Google).

Các giao thức chính

DoH, DoT so với ODoH

Mã hóa DNS không phải lúc nào cũng là một tiêu chuẩn thống nhất. Điều này có nghĩa là mỗi giao thức mã hóa DNS có thể áp dụng các cách hơi khác nhau để giải quyết vấn đề. DNS over HTTPS (DoH) và DNS over TLS (DoT) là các giao thức mã hóa phổ biến và được triển khai rộng rãi. Cả hai giao thức đều hướng đến việc mã hóa các truy vấn DNS để chúng không thể đọc được dưới dạng plain text, nhưng thiết kế và cách thức áp dụng của chúng dẫn đến việc mỗi giao thức mang lại trải nghiệm người dùng khác nhau.

DoH hòa nhập hoàn hảo với mọi lưu lượng truy cập của bạn vì nó chạy trên HTTPS. Các trình duyệt phổ biến như Google Chrome và Mozilla Firefox có thể dễ dàng kích hoạt trực tiếp, và các mạng không thể dễ dàng chặn lưu lượng truy cập này mà không làm gián đoạn mọi thứ. DoT thì khá khác biệt. Nó thường được triển khai ở cấp hệ thống hoặc router và chạy trên một cổng chuyên dụng (853) sử dụng TCP với mã hóa TLS. Nó giống một dịch vụ ở cấp độ mạng hơn, nhưng tường lửa hoặc ISP có thể chặn nó dễ dàng hơn nếu cần.

Tất cả các giao thức này đều cung cấp một số hình thức bảo vệ, nhưng việc lựa chọn giao thức này hay giao thức kia cuối cùng đồng nghĩa với việc phải lựa chọn giữa tính dễ triển khai, nơi bạn có thể tin tưởng và khả năng chống kiểm duyệt.

Vấn đề trung gian

Mã hóa vẫn có thể khiến bạn bị lộ

DNS được mã hóa không khiến bạn hoàn toàn ẩn mình trực tuyến. Các giao thức khác nhau có thể khiến bất kỳ bên nào bên ngoài mạng khó đọc được truy vấn của bạn, nhưng trình phân giải vẫn có thể thấy tên miền đã truy cập và địa chỉ IP của bạn. Vì vậy, bạn phải đánh đổi khả năng hiển thị của ISP để lấy khả năng hiển thị trên một trình phân giải công cộng lớn.

Các mẫu lưu lượng truy cập của bạn cũng có thể làm rò rỉ siêu dữ liệu. Ngay cả khi nội dung dữ liệu được mã hóa, các yếu tố như thời gian, tần suất và kích thước gói tin vẫn có thể được phân tích để suy ra thói quen duyệt web. Trong một số trường hợp, lưu lượng truy cập này có thể được sử dụng để gợi ý các domain bạn truy cập mà không cần giải mã những yêu cầu.

Ngoài ra, số lượng nhà cung cấp hạn chế đặt ra vấn đề về tập trung hóa, đặc biệt là vì phần lớn lưu lượng DNS mã hóa được định tuyến qua các tùy chọn hạn chế này. Mặc dù các công ty này xây dựng các biện pháp bảo vệ mạnh mẽ, nhưng một trát đòi hầu tòa, vi phạm dữ liệu hoặc chính sách quản lý duy nhất có thể làm lộ hoạt động của người dùng.