Domain Name System (DNS) được nhiều người coi là danh bạ của Internet, chuyển đổi tên miền thành thông tin mà máy tính có thể đọc được, chẳng hạn như địa chỉ IP.
Bất cứ khi nào bạn viết một tên miền vào thanh địa chỉ, DNS sẽ tự động chuyển đổi nó thành địa chỉ IP tương ứng. Trình duyệt của bạn sử dụng thông tin này để truy xuất dữ liệu từ server gốc và load trang web.
Nhưng bọn tội phạm mạng thường có thể theo dõi lưu lượng DNS, khiến việc mã hóa trở nên cần thiết để giữ cho quá trình duyệt web của bạn ở chế độ riêng tư và an toàn.
Có một số giao thức mã hóa DNS được sử dụng ngày nay. Các giao thức mã hóa này có thể được dùng để ngăn chặn việc rình mò trên mạng bằng cách mã hóa lưu lượng trong giao thức HTTPS qua kết nối bảo mật tầng vận chuyển (TLS).
1. DNSCrypt
DNSCrypt là một giao thức mạng mã hóa tất cả lưu lượng DNS giữa máy tính của người dùng và nameserver chung. Giao thức sử dụng cơ sở hạ tầng public key (PKI) để xác minh tính xác thực của DNS server và các client của bạn.
Nó sử dụng hai key, public key và private key để xác thực giao tiếp giữa client và server. Khi một truy vấn DNS được bắt đầu, client sẽ mã hóa truy vấn đó bằng public key của server.
Sau đó, truy vấn được mã hóa sẽ được gửi đến server, server này sẽ giải mã truy vấn bằng private key của nó. Bằng cách này, DNSCrypt đảm bảo rằng giao tiếp giữa client và server luôn được xác thực và mã hóa.
DNSCrypt là một giao thức mạng tương đối cũ. Nó đã được thay thế phần lớn bởi DNS-over-TLS (DoT) và DNS-over-HTTPS (DoH) do khả năng hỗ trợ rộng hơn và đảm bảo bảo mật mạnh mẽ hơn được cung cấp bởi các giao thức mới hơn này.
2. DNS over TLS
DNS-over-TLS mã hóa truy vấn DNS của bạn bằng Transport Layer Security (TLS). TLS đảm bảo rằng truy vấn DNS của bạn được mã hóa từ đầu đến cuối, ngăn chặn các cuộc tấn công Man-in-the-Middle (MITM).
Khi bạn sử dụng DNS-over-TLS (DoT), truy vấn DNS của bạn sẽ được gửi tới trình phân giải DNS-over-TLS thay vì trình phân giải không được mã hóa. Trình phân giải DNS-over-TLS giải mã truy vấn DNS của bạn và thay mặt bạn gửi nó đến DNS server có thẩm quyền.
Cổng mặc định cho DoT là cổng TCP 853. Khi bạn kết nối bằng DoT, cả client và trình phân giải đều thực hiện "bắt tay" kỹ thuật số. Sau đó, client gửi truy vấn DNS của nó thông qua kênh TLS được mã hóa tới trình phân giải.
Trình phân giải DNS xử lý truy vấn, tìm địa chỉ IP tương ứng và gửi phản hồi lại cho client thông qua kênh được mã hóa. Client nhận được phản hồi mã hóa, tại đây nó được giải mã và client sử dụng địa chỉ IP để kết nối với trang web hoặc dịch vụ mong muốn.
3. DNS over HTTPS
HTTPS là phiên bản bảo mật của HTTP hiện được sử dụng để truy cập các trang web. Giống như DNS-over-TLS, DNS-over-HTTPS (DoH) cũng mã hóa tất cả thông tin trước khi gửi qua mạng.
Mặc dù mục tiêu là như nhau, nhưng có một số khác biệt cơ bản giữa DoH và DoT. Để bắt đầu, DoH gửi tất cả các truy vấn được mã hóa qua HTTPS thay vì trực tiếp tạo kết nối TLS để mã hóa lưu lượng truy cập của bạn.
Thứ hai, nó sử dụng cổng 403 cho giao tiếp chung, khiến nó khó phân biệt với lưu lượng truy cập web chung. DoT sử dụng cổng 853, giúp xác định lưu lượng truy cập từ cổng đó và chặn nó dễ dàng hơn nhiều.
DoH đã chứng kiến việc áp dụng rộng rãi hơn trong các trình duyệt web như Mozilla Firefox và Google Chrome, vì nó tận dụng cơ sở hạ tầng HTTPS hiện có. DoT được sử dụng phổ biến hơn bởi các hệ điều hành và trình phân giải DNS chuyên dụng, thay vì được tích hợp trực tiếp vào trình duyệt web.
Hai lý do chính khiến DoH được áp dụng rộng rãi hơn là vì việc tích hợp vào các trình duyệt web hiện tại dễ dàng hơn nhiều và quan trọng hơn, nó kết hợp hoàn hảo với lưu lượng truy cập web thông thường, khiến việc chặn trở nên khó khăn hơn nhiều.
4. DNS over QUIC
So với các giao thức mã hóa DNS khác trong danh sách này, DNS-over-QUIC (DoQ) còn khá mới. Đây là một giao thức bảo mật mới nổi gửi các truy vấn và phản hồi DNS qua giao thức vận chuyển QUIC (Quick UDP Internet Connections).
Hầu hết lưu lượng truy cập Internet ngày nay đều dựa trên Transmission Control Protocol (TCP) hoặc User Datagram Protocol (UDP), với các truy vấn DNS thường được gửi qua UDP. Tuy nhiên, giao thức QUIC ra đời nhằm khắc phục một số nhược điểm của TCP/UDP, giúp giảm độ trễ và nâng cao tính bảo mật.
QUIC là một giao thức truyền tải tương đối mới do Google phát triển, được thiết kế để cung cấp hiệu suất, bảo mật và độ tin cậy tốt hơn so với các giao thức truyền thống như TCP và TLS. QUIC kết hợp các tính năng của cả TCP và UDP, đồng thời có mã hóa tích hợp tương tự như TLS.
Vì mới hơn nên DoQ mang lại một số lợi thế so với các giao thức được đề cập ở trên. Đối với người mới bắt đầu, DoQ cung cấp hiệu suất nhanh hơn, giảm độ trễ tổng thể và cải thiện thời gian kết nối. Điều này dẫn đến việc phân giải DNS nhanh hơn (thời gian để DNS phân giải địa chỉ IP). Cuối cùng, điều này có nghĩa là các trang web được phục vụ cho bạn nhanh hơn.
Quan trọng hơn, DoQ có khả năng chống mất dữ liệu tốt hơn khi so sánh với TCP và UDP, vì nó có thể khôi phục từ các gói bị mất mà không yêu cầu truyền lại toàn bộ, không giống như các giao thức dựa trên TCP.
Hơn nữa, việc di chuyển các kết nối bằng QUIC cũng dễ dàng hơn nhiều. QUIC đóng gói nhiều luồng trong một kết nối duy nhất, giảm số lượng vòng lặp cần thiết cho một kết nối và do đó cải thiện hiệu suất. Điều này cũng có thể hữu ích khi chuyển đổi giữa mạng WiFi và mạng di động.
QUIC vẫn chưa được áp dụng rộng rãi so với các giao thức khác. Nhưng các công ty như Apple, Google và Meta đã sử dụng QUIC, thường tạo ra phiên bản của riêng họ (Microsoft sử dụng MsQUIC cho tất cả lưu lượng SMB của mình), điều này báo hiệu tốt cho tương lai.
Các công nghệ mới nổi dự kiến sẽ thay đổi căn bản cách chúng ta truy cập web. Chẳng hạn, nhiều công ty hiện đang tận dụng các công nghệ blockchain để đưa ra các giao thức đặt tên miền an toàn hơn, như HNS và Unstoppable Domains.