Có thể bạn không biết: Đổi DNS 1.1.1.1 thành 1.1.1.2 có thể giúp chặn luôn trang web độc hại!

[trungthuc]

Trong bối cảnh các hình thức lừa đảo trực tuyến và mã độc hại ngày càng tinh vi, người sử dụng Internet không chỉ phải cẩn thận khi truy cập vào các website mà còn nên chủ động trang bị thêm các lớp bảo vệ từ sớm.

Một trong những cách đơn giản nhưng có hiệu quả ít được chú ý, chính là sử dụng DNS có kết hợp khả năng lọc ra các nội dung độc hại. Thay vì chỉ đóng vai trò nhằm "tra cứu địa chỉ", DNS hiện đại có thể giúp chặn các trang phishing, malware ngay từ bước kết nối, giúp giảm thiểu rủi ro trước khi số liệu độc hại kịp đến lây nhiểm thiết bị của bạn.

(Minh họa)

Hiện nay có rất nhiều người đang sử dụng DNS mặc định 1.1.1.1 của Cloudflare vì thấy nhanh, ổn định và hỗ trợ DNS over HTTPS (DoH) giúp tăng thêm một chút chổ riêng tư. Tuy nhiên, có một điều mà không phải ai cũng để ý: 1.1.1.1 gần như chỉ làm nhiệm vụ 'tra cứu địa chỉ IP', chứ không có thêm lớp bảo vệ nào.
Nếu bạn muốn được an toàn hơn, chỉ cần cho đổi một con số nhỏ sang 1.1.1.2 là đã có thêm khả năng ngăn chặn malware ngay từ cấp DNS.

Nói đơn giản hơn, DNS giống như danh bạ của Internet. Khi bạn nhập địa chỉ một website, máy tính sẽ gửi yêu cầu đến DNS để hỏi xem, "trang này có IP là gì", sau đó mới cho kết nối tới máy chủ thực tế. Bình thường bạn không cần quan tâm lắm đến DNS, vì nó chỉ đóng vai trò trung gian. Nhưng chính vì nằm giữa bạn và Internet, DNS hoàn toàn có thể được cho áp dụng để sàng lọc nội dung và đây chính là điểm khác biệt quan trọng.

Với 1.1.1.1, DNS sẽ trả về IP của bất cứ trang website nào, kể cả trang mạng độc hại, phishing hay cho phát tán mã độc hại. Bạn vẫn có thể truy cập vô bình thường mà không có lời báo động nào xảy ra. Nhưng với 1.1.1.2, Cloudflare đã cho kết hợp thêm một lớp lọc nhằm bảo mật. Khi bạn truy cập vào những domain đã được xác định là nguy hiểm, DNS sẽ trả về địa chỉ 0.0.0.0, tức là không kết nối được gì hết. Nói một cách khác, trang web độc hại sẽ bị chặn ngay từ "cửa vào", chưa kịp cho tải về máy.

Ưu điểm của cách này là nó sẽ hoạt động bên ngoài thiết bị của bạn. Nghĩa là dù cho bạn có bấm nhầm link phishing hay truy cập web chứa malware, sự kết nối cũng không được thiết lập, giúp giảm đi đáng kể các rủi ro. Đây là kiểu bảo vệ "tuy thụ động nhưng có hiệu quả", chỉ cần cho cài đặt một lần rồi gần như không cần phải quan tâm đến nữa.

Nếu muốn mạnh tay hơn, bạn có thể sử dụng 1.1.1.3. Ngoài việc ngăn chặn malware giống như 1.1.1.2, nó còn chặn luôn các website có nội dung dành cho người lớn. Tùy theo nhu cầu, việc này khá phù hợp nếu trong nhà có trẻ nhỏ hoặc muốn cho sàng lọc nội dung toàn mạng.

Tuy nhiên, DNS filtering này không phải "lá chắn bảo vệ tuyệt đối". Nó chỉ chặn được những domain được biết là "nguy hiểm". Nếu có xuất hiện ra website độc hại mới hoặc một trang hợp pháp đã bị hack, DNS có thể chưa cập nhật kịp thời. Ngoài ra ,cũng có trường hợp hiếm bị chặn nhầm website bình thường. Vì vậy, DNS chỉ nên được xem là một lớp bảo vệ bổ sung, không thay thế cho phần mềm antivirus hay các biện pháp bảo vệ khác.

Việc thiết lập ra cũng khá đơn giản. Nếu muốn áp dụng cho toàn bộ mạng, bạn nên cho đổi DNS trực tiếp trên router. Thông thường chỉ cần đăng nhập vào router (địa chỉ hay gặp là 192.168.1.1 hoặc 192.168.0.1), tìm phần DHCP hoặc Network rồi cho chỉnh lại DNS chính thành 1.1.1.2 và DNS phụ thành 1.0.0.2 là xong. Làm theo cách này thì tất cả thiết bị trong nhà đều được cho áp dụng.

Còn nếu chỉ muốn đổi trên máy Windows, bạn vào Settings > Network & Internet, chọn mạng đang sử dụng, rồi cho chỉnh lại DNS từ Automatic sang Manual. Sau đó nhập IPv4 với DNS chính là 1.1.1.2 và DNS phụ là 1.0.0.2, xong cho lưu lại là hoàn tất.

Đổi DNS không phải giải pháp toàn diện, nhưng lại là một trong những cách đơn giản nhất để gia tăng thêm một lớp bảo vệ cho hệ thống. Trong bối cảnh malware ngày càng tinh vi, việc kết hợp nhiều lớp bảo mật từ DNS, trình duyệt cho đến phần mềm diệt virus vẫn luôn là hướng đi an toàn nhất.

Ngoài phần hướng dẫn kỹ thuật, chủ đề DNS của Cloudflare, đặc biệt là 1.1.1.1 và 1.1.1.2, cũng đang gây khá nhiều tranh luận trong cộng đồng kỹ thuật. Không ít người đồng tình rằng 1.1.1.2 là lựa chọn hợp lý hơn cho người sử dụng bình thường vì có thêm lớp lọc malware, nhưng cũng có nhiều ý kiến trái chiều xoay quanh hiệu năng, quyền riêng tư và các giải pháp thay thế khác.

Một số người cho rằng, việc "chê bai" DNS của Cloudflare là khá là mâu thuẫn, nhất là khi nhiều người vẫn đang sử dụng các nền tảng như mạng xã hội, vốn cũng thu thập số liệu riêng tư không kém. Quan điểm này tuy có tính châm biếm nhưng cũng phản ảnh ra thực tế: vấn đề không chỉ nằm ở DNS nào tốt hơn, mà còn ở mức độ người tiêu dùng chấp nhận đánh đổi giữa sự tiện lợi và quyền riêng tư.

Ở chiều ngược lại, nhiều người dùng lâu năm lại không quá mặn mà với DNS công cộng, kể cả Cloudflare. Một số lựa chọn thay thế được nhắc tới khá nhiều như AdGuard DNS với các IP 94.140.14.14 và 94.140.15.15, hay Quad9 (9.9.9.9) vốn nổi tiếng về khả năng ngăn chặn domain độc hại. Ngoài ra, NextDNS cũng được đánh giá cao nhờ khả năng tùy chỉnh sâu và thống kê chi tiết, phù hợp cho những ai muốn kiểm soát toàn bộ lưu lượng DNS ở cấp router. (dĩ nhiên phải trả lệ phí để sử dụng)

Một số người nghiêng về "hardcore" hơn thì lại chọn hướng tự cho triển khai DNS nội bộ, chẳng hạn sử dụng Unbound kết hợp với Pi-hole để vừa cho lọc ra quảng cáo, vừa bảo đảm toàn quyền kiểm soát truy vấn vào DNS. Cách này tuy có an toàn hơn về mặt riêng tư, nhưng đổi lại yêu cầu cao về kiến thức kỹ thuật và thời gian cho thiết lập.

Bên cạnh đó, cũng có những thắc mắc thực tế như làm sao để kiểm tra tốc độ DNS nào nhanh nhất với mạng của mình, bởi vì kết quả benchmark trên mạng chưa chắc đã phản ảnh ra đúng theo điều kiện cho sử dụng trên thực tế. Một số phương pháp để test DNS có thể giúp đo đạc độ trễ, nhưng sự trải nghiệm trên thực tế còn phụ thuộc vào ISP, vị trí địa lý và cả cache DNS.

Tất nhiên, không phải ai cũng hoàn toàn tin tưởng vào DNS filtering này. Có ý kiến cho rằng việc chặn malware qua DNS chỉ có tính cách tương đối, vì chỉ hiệu quả với các domain đã được nhận diện ra. Ngoài ra, một số người còn lo ngại về việc DNS công cộng có thể đóng vai trò trung gian (MITM – man-in-the-middle) nếu không được mã hóa hoặc kiểm soát minh bạch.

1.1.1.2 của Cloudflare là một sự lựa chọn đơn giản, dễ sử dụng và phù hợp với đa số người bình thường muốn tăng thêm một lớp bảo mật mà không cần có cấu trúc phức tạp. Tuy nhiên, với người có trình độ kỹ thuật nâng cao, thị trường DNS hiện nay có rất nhiều sự lựa chọn khác nhau, từ dịch vụ công cộng cho đến tự triển khai, mỗi giải pháp đều có ưu và nhược điểm riêng. Việc chọn DNS nào cuối cùng vẫn phụ thuộc vào nhu cầu: ưu tiên tốc độ, bảo mật hay quyền riêng tư.