Cách xây dựng DNS cục bộ để ngăn chặn sự theo dõi từ ISP

Nhà cung cấp dịch vụ Internet (ISP) là điểm kết nối đầu tiên giữa bạn và Internet. Mỗi khi kết nối, bạn sẽ chuyển thông tin đến ISP, bao gồm tên miền, địa chỉ IP, dấu thời gian kết nối và bất kỳ lưu lượng HTTP nào chưa được mã hóa. Mặc dù điều này phần lớn là ổn, nhưng có lẽ bạn sẽ muốn bảo mật và riêng tư hơn một chút cho các hoạt động trực tuyến của mình.

Hiện nay, hầu hết mọi người đều nghĩ rằng sử dụng một dịch vụ VPN tốt là cách duy nhất để bảo vệ quyền riêng tư trực tuyến. Tuy nhiên, có một giải pháp khác: DNS cục bộ.

Kiểm soát DNS bằng cấu hình cục bộ

Một lớp kiểm soát linh hoạt mới

DNS là một trong những dịch vụ mà hầu hết mọi người mặc định thuê ngoài. Hầu hết mọi người sử dụng cài đặt DNS mặc định của ISP hoặc chuyển sang nhà cung cấp DNS của bên thứ ba như Google hoặc Cloudflare. Vấn đề duy nhất là các bên thứ ba này có thể nhìn thấy những yêu cầu của bạn.

Tuy nhiên, một trong những cách hiệu quả nhất để thay đổi điều này là chạy DNS cục bộ. Bằng cách này, một dịch vụ DNS nhỏ chạy trên  máy tính sẽ trở thành trình phân giải đáng tin cậy của bạn.

Lưu ý: Trình phân giải nhận các yêu cầu cho một trang web và tìm địa chỉ IP phù hợp. Quá trình này thường được xử lý bởi trình phân giải của ISP, nhưng nếu đang thiết lập DNS cục bộ, bạn sẽ có quyền kiểm soát.

Sự thay đổi quyền tự chủ này cho phép bạn quyết định cách xử lý các yêu cầu của mình. Bạn có thể tự giải quyết chúng bằng cách truy vấn trực tiếp đến các máy chủ có thẩm quyền hoặc chuyển tiếp chúng đến một trình phân giải đáng tin cậy. Tuy nhiên, các yêu cầu gửi đi từ máy tính của bạn sẽ không được mã hóa và vẫn có thể được ISP hoặc trình phân giải upstream nhìn thấy nếu thiết lập DNS cục bộ của bạn không sử dụng DNS-over-HTTPS (DoH) hoặc DNS-over-TLS (DoT). Bạn sẽ không có quyền riêng tư hoàn toàn nếu không có giao thức DNS được mã hóa; bạn chỉ có quyền kiểm soát cache, bộ lọc và dịch vụ upstream mà bạn tin tưởng.

Đây là một loại kiểm soát mạnh mẽ cho phép bạn áp dụng cache và các quy tắc tùy chỉnh để chặn những trang web cụ thể khỏi thiết bị của con bạn hoặc truy cập nhanh hơn vào các domain bạn thường xuyên truy cập. Bạn thậm chí có thể thêm file hosts để chặn các trình theo dõi đã biết.

Cách tạo DNS cục bộ

DNS cục bộ miễn phí trên Windows 11

Khi quyết định thiết lập máy chủ DNS, điều mọi người tìm kiếm là một thứ gì đó thiết thực và miễn phí. Vì vậy, không cần Raspberry Pi và đăng ký - chỉ cần một thứ gì đó hoạt động trên Windows 11. Đây chính xác là những gì cần làm:

1. Tải xuống Acrylic DNS Proxy từ trang web Mayakron, sau đó cài đặt nó bằng tùy chọn mặc định. Acrylic là một lựa chọn lý tưởng vì nó miễn phí và nhẹ, đồng thời không cần cấu hình phức tạp. Tuy nhiên, xin lưu ý rằng Acrylic không mã hóa lưu lượng DNS - nó chỉ chuyển tiếp các yêu cầu của bạn. Để mã hóa, bạn sẽ cần một trình phân giải hoặc công cụ hỗ trợ DNS-over-HTTPS (DoH) hoặc DNS-over-TLS (DoT).

1. Sau đó, mở cài đặt kết nối mạng trong Control Panel. Tại đây, nhấp chuột phải vào kết nối đang hoạt động (Wi-Fi hoặc Ethernet) và chọn Properties.
2. Chọn Internet Protocol Version 4 (TCP/IPv4) và nhấp vào Properties. Sau đó, chọn Use the following DNS server addresses và đặt Preferred DNS server thành 127.0.0.1. Bằng cách này, Windows sẽ luôn gửi các DNS lookup đến Acrylic đang chạy cục bộ.
3. Sau đó, đặt Quad9 làm trình phân giải upstream mà Acrylic chuyển tiếp các yêu cầu bằng cách khởi chạy Acrylic, nhấp vào File, rồi chọn Open Acrylic Configuration và đặt các tham số bên dưới thành những giá trị sau:
   • Primary Server Address: 9.9.9.9
   • Primary Server Port: 53
   • Secondary Server Address: 149.112.112.112
   • Secondary Server Port: 53

Lưu ý: Quad9 là một trình phân giải upstream lý tưởng vì nó chủ động chặn một số domain độc hại đã biết, nhưng bạn sẽ cần thêm file hosts miễn phí hoặc danh sách bộ lọc vào Acrylic để chặn các domain quảng cáo/theo dõi đã biết. Tất nhiên, bạn cũng có thể sử dụng bất kỳ máy chủ DNS nào khác ưu tiên an toàn trực tuyến.

Thiết lập này tạo ra sự khác biệt thực sự. Các truy vấn DNS được lưu trong cache đã được trả lời cục bộ, giúp tăng tốc thời gian phân giải tên miền, đặc biệt là trên những kết nối Internet chậm, vì DNS lookup được lưu trong cache sẽ bỏ qua sự cố ban đầu. Bạn cũng có thể chọn thêm file hosts miễn phí để chặn các domain được biết là đang được trình theo dõi quảng cáo sử dụng, do đó những yêu cầu xâm nhập sẽ không đến được trình duyệt của bạn.

Mỗi DNS sẽ có mức độ thành công khác nhau. Một số quá kỹ thuật, một số quá tốn thời gian để trả về kết quả. Tuy nhiên, việc thiết lập DNS cục bộ thì khác. Nó cho phép bạn kiểm soát, lọc và một số lợi ích về tốc độ - nhưng nó sẽ không ngăn ISP nhìn thấy địa chỉ IP mà bạn đang kết nối. Để làm được điều đó, bạn sẽ cần ghép nối cấu hình cục bộ của mình với một DNS được mã hóa hoặc bạn có thể sử dụng một trong các dịch vụ VPN được đề xuất để bảo vệ toàn bộ kết nối.