Kiểm tra rò rỉ DNS: Cách kiểm tra và khắc phục rò rỉ DNS
VPN của bạn có thể hiển thị địa chỉ IP hợp lệ ở một quốc gia khác trong khi âm thầm cung cấp cho nhà cung cấp dịch vụ internet của bạn danh sách mọi trang web bạn đã truy cập. Lỗ hổng đó có tên gọi là rò rỉ DNS. Biểu tượng khóa trông có vẻ đóng, lưu lượng truy cập trông có vẻ riêng tư, nhưng các yêu cầu tra cứu chuyển đổi tên miền thành địa chỉ IP vẫn bị rò rỉ ra ngoài dưới dạng văn bản thuần. Kiểm tra rò rỉ DNS nhanh chóng là cách duy nhất để biết liệu điều đó có đang xảy ra với bạn hay không, và hầu hết những người chạy thử nghiệm lần đầu tiên đều ngạc nhiên với những gì họ tìm thấy.
Hướng dẫn này giải thích rò rỉ DNS là gì, cách kiểm tra rò rỉ DNS trong khoảng ba mươi giây, cách khắc phục nguyên nhân gây ra lỗi và tại sao rủi ro lại cao hơn nếu bạn đang nắm giữ tiền điện tử. Phần cuối cùng đó là điều mà hầu như không có hướng dẫn nào khác đề cập đến.
Rò rỉ DNS là gì và những thông tin nào bị rò rỉ ra ngoài.
Hãy hình dung Hệ thống Tên Miền (DNS) như cuốn danh bạ điện thoại của internet. Bạn nhập tên miền, thiết bị của bạn gửi một yêu cầu DNS nhỏ, và máy chủ DNS trả về địa chỉ IP tương ứng. Khá đơn giản. Rò rỉ xảy ra khi quá trình tra cứu đó đi lạc khỏi đường dẫn đúng. Thay vì đi theo đường hầm VPN được mã hóa đến máy chủ phân giải của VPN, truy vấn lại bị chuyển đến máy chủ DNS của nhà cung cấp dịch vụ internet (ISP) của bạn, thường là dưới dạng văn bản thuần.
Không có gì bị "đánh cắp" theo nghĩa trong phim. Thứ bị rò rỉ là siêu dữ liệu: danh sách các trang web bạn đã cố gắng truy cập, được liên kết với địa chỉ IP thực của bạn. Chừng đó là đủ. Sử dụng DNS theo cách này, nhà cung cấp dịch vụ Internet (ISP) của bạn không bao giờ phải đọc một byte nào trong lưu lượng truy cập thực tế của bạn để biết bạn đã mở một sàn giao dịch cụ thể, một dịch vụ ví điện tử hoặc một trang tin tức nào đó lúc 11:47 thứ Ba. Mỗi khi bạn truy cập một trang web, quá trình tra cứu phải được giải quyết ở đâu đó, và vấn đề nằm ở chính điểm đó. Đây là phần khó chịu: việc rò rỉ dữ liệu gần giống với cài đặt mặc định của web hơn là một lỗi hiếm gặp. Tính đến tháng 2 năm 2026, khoảng 86,6% các truy vấn DNS trên toàn thế giới vẫn truyền qua mạng dưới dạng UDP không mã hóa, theo Cloudflare Radar . DNS được mã hóa là ngoại lệ, chứ không phải là quy tắc.
Cách thức rò rỉ DNS xảy ra: IPv6, WebRTC, bộ định tuyến, v.v.
Hầu hết các vụ rò rỉ thông tin không phải là những cuộc tấn công tinh vi. Chúng chỉ là hành vi thông thường của hệ điều hành mà VPN chưa bao giờ hoàn toàn khắc phục được. Có ba nguyên nhân chính dẫn đến phần lớn các bài kiểm tra thất bại.
IPv6 và lỗ hổng bảo mật mà VPN của bạn đã bỏ qua
Đây là thủ phạm thầm lặng của việc rò rỉ DNS. Rất nhiều VPN được xây dựng để tạo đường hầm cho IPv4 và coi IPv6 là vấn đề của bên khác. Vì vậy, nếu hệ điều hành của bạn đã bật IPv6 và VPN chỉ sử dụng IPv4, thì các truy vấn DNS IPv6 đó sẽ bị rò rỉ ra ngoài đường hầm. Đây không phải là giả thuyết. Một nghiên cứu được bình duyệt năm 2025 của Cho và Heidemann tại ACM IMC đã phát hiện 12 VPN thương mại làm rò rỉ lưu lượng IPv6 đối với từ 5% đến 57% người dùng chỉ sử dụng IPv4, được công bố trong bài báo IMC 2025 của họ . Nhiều năm "bảo vệ chống rò rỉ IPv6" được áp dụng, nhưng lỗ hổng vẫn còn đó trong dữ liệu.
Tấn công chiếm quyền điều khiển DNS một cách minh bạch bởi nhà cung cấp dịch vụ Internet của bạn.
Một số nhà cung cấp dịch vụ Internet (ISP) chặn bất kỳ yêu cầu DNS nào rời khỏi mạng của bạn trên cổng 53 và chuyển hướng chúng qua máy chủ phân giải của riêng họ, bất kể bạn thiết lập máy chủ nào. Đó là hành vi chiếm quyền điều khiển DNS một cách minh bạch. Hãy chạy thử nghiệm rò rỉ và bạn sẽ thấy máy chủ phân giải của ISP đang hoạt động ngay cả khi bạn đã cấu hình một máy chủ khác. Windows làm cho vấn đề trở nên tồi tệ hơn theo hai cách cụ thể: Phân giải tên đa kết nối thông minh (SMHNR), phát tán các truy vấn DNS từ mọi bộ điều hợp mạng cùng một lúc, và Teredo, một dịch vụ đường hầm IPv6 âm thầm mở một đường dẫn thứ hai xung quanh VPN.
Rò rỉ trình duyệt và WebRTC
WebRTC là tính năng trình duyệt hỗ trợ các cuộc gọi âm thanh và video thời gian thực. Tiện lợi, nhưng nó cũng có thể làm lộ địa chỉ IP cục bộ và công cộng của bạn thông qua các yêu cầu kết nối trực tiếp, bỏ qua hoàn toàn DNS. Nói một cách chính xác, đó không phải là rò rỉ DNS. Một bài kiểm tra rò rỉ DNS tốt vẫn kiểm tra điều này, bởi vì kết quả là giống nhau: địa chỉ thực của bạn sẽ bị hiển thị. Vấn đề này phổ biến đến mức nào? Một nghiên cứu cũ hơn nhưng vẫn được trích dẫn năm 2016 của CSIRO và Đại học Macquarie về 283 ứng dụng VPN Android cho thấy 66% lưu lượng DNS bị rò rỉ và 84% không bao giờ định tuyến IPv6 qua đường hầm, được ghi lại trong kỷ yếu ACM IMC 2016. Chín năm trôi qua, không ai lật ngược được những con số đó.
Cách chạy thử nghiệm rò rỉ DNS miễn phí và đọc kết quả
Chạy thử nghiệm thì dễ. Đọc kết quả mới là phần khó. Kết nối VPN, mở trang kiểm tra rò rỉ DNS miễn phí trên trình duyệt và chạy cả kiểm tra tiêu chuẩn lẫn kiểm tra mở rộng. Vài giây sau, bạn sẽ nhận được danh sách các máy chủ phân giải DNS đã trả lời, mỗi máy chủ đều có tên chủ sở hữu và vị trí. Bây giờ câu hỏi quan trọng là: các máy chủ phân giải đó thuộc về VPN của bạn hay thuộc về nhà cung cấp dịch vụ Internet (ISP) và Google?
Hãy chạy thử hai lần. Thực hiện kiểm tra rò rỉ DNS một lần khi tắt VPN để biết máy chủ phân giải DNS của nhà cung cấp dịch vụ Internet (ISP) trông như thế nào, sau đó chạy lại một lần nữa khi bật đường hầm VPN. Cùng một máy chủ ISP hiển thị trong cả hai lần chạy? Đó chính là điểm rò rỉ, rõ ràng như ban ngày. Chỉ có máy chủ phân giải DNS của VPN khi kết nối? Bạn an toàn về DNS, ít nhất là cho đến khi khởi động lại hệ thống.
| Kết quả xét nghiệm cho thấy điều gì? | Phán quyết | Nên làm gì |
|---|---|---|
| Chỉ máy chủ DNS của VPN của bạn | Không rò rỉ | Bạn không cần lo lắng; hãy kiểm tra lại sau khi cập nhật. |
| Trình phân giải của nhà cung cấp dịch vụ Internet của bạn xuất hiện | Rò rỉ DNS | Hãy khắc phục nguyên nhân bên dưới trước khi tin tưởng vào đường hầm. |
| Google hoặc trình phân giải của bên thứ ba mà bạn không thiết lập. | Rò rỉ một phần | Thiết lập DNS thủ công; kiểm tra cấu hình bộ định tuyến. |
| Máy chủ IPv6 khác với máy chủ IPv4. | Rò rỉ IPv6 | Tắt IPv6 hoặc sử dụng VPN để tạo đường hầm cho IPv6. |
| Địa chỉ IP thực của bạn được hiển thị trong trường WebRTC | Rò rỉ WebRTC | Vô hiệu hóa WebRTC trong trình duyệt |
Vì sao rò rỉ DNS lại quan trọng đối với quyền riêng tư trong mã hóa
Đây là phần mà các trang đánh giá VPN thường bỏ qua. Đối với người dùng tiền điện tử, rò rỉ DNS còn tồi tệ hơn so với người bình thường, bởi vì nó lấp đầy khoảng trống mà việc giám sát trên chuỗi không thể tự mình vượt qua: liên kết giữa danh tính mạng của bạn và ví của bạn.
Liên kết địa chỉ IP của bạn với ví điện tử
Các công ty phân tích blockchain rất giỏi trong việc nhóm các địa chỉ và theo dõi dòng tiền. Tuy nhiên, họ khó có thể xác định được một người cụ thể có địa chỉ cụ thể hay không nếu không có manh mối ngoài chuỗi. Rò rỉ DNS chính là manh mối đó. Nếu thiết bị của bạn làm rò rỉ các truy vấn đến tên miền ví, trang web khám phá khối hoặc điểm cuối RPC của nút, và các truy vấn đó mang theo địa chỉ IP thực của bạn cùng với dấu thời gian, người quan sát có thể đối chiếu dấu vết mạng với hoạt động trên chuỗi diễn ra cùng lúc.
Trao đổi thông tin đăng nhập và tương quan KYC
Đây là điểm yếu nhất. Khi bạn đăng nhập vào một sàn giao dịch tập trung, thiết bị của bạn sẽ tra cứu tên miền của sàn giao dịch đó. Nếu thông tin tra cứu bị rò rỉ đến nhà cung cấp dịch vụ internet (ISP) của bạn, nó sẽ được ghi lại dựa trên địa chỉ IP thực của bạn. Sàn giao dịch của bạn đã nắm giữ thông tin nhận dạng đã được xác minh của bạn thông qua quy trình KYC. Giờ đây, bên thứ ba có thể liên kết thông tin nhận dạng đó với phiên giao dịch mà VPN lẽ ra phải che giấu . Ngành công nghiệp phân tích blockchain, chuyên mua và xử lý loại dữ liệu tương quan này, trị giá 2,99 tỷ đô la vào năm 2025 và dự kiến sẽ tăng trưởng 22% mỗi năm, trong khi Chainalysis thống kê được 154 tỷ đô la khối lượng tiền điện tử bất hợp pháp vào năm 2025, trong Báo cáo Tội phạm Tiền điện tử của họ — một thị trường với động lực mạnh mẽ để kết nối mọi điểm có thể.
Dấu vết DNS tiết lộ điều gì về bạn?
Ngay cả khi không biết nội dung lưu lượng truy cập của bạn, danh sách các tên miền bạn phân giải theo thứ tự cũng là một dấu vân tay hành vi. Sàn giao dịch nào, ví nào, giao diện DeFi nào, theo trình tự nào, vào giờ nào. Các cơ quan quản lý của Mỹ đã xác nhận nhu cầu về dữ liệu này: một báo cáo của nhân viên FTC năm 2021 cho thấy tất cả sáu nhà cung cấp dịch vụ Internet (ISP) lớn của Mỹ đều ghi lại các truy vấn DNS và dữ liệu duyệt web, trong báo cáo về việc thu thập dữ liệu của ISP . Công bằng mà nói, chưa có vụ kiện nào được đưa ra tòa án công khai nào chứng minh việc giải mã danh tính tiền điện tử chỉ dựa trên rò rỉ DNS. Khả năng này đã được ghi nhận rõ ràng; nhưng bằng chứng buộc tội thì chưa. Tôi không tin điều đó sẽ vẫn đúng.
Cách ngăn chặn rò rỉ DNS trên mọi thiết bị
Tin tốt: cách khắc phục rất đơn giản, không phải là cả một chuỗi thao tác dài. Hãy chọn thao tác phù hợp với kết quả kiểm tra thực tế, thay vì cố gắng thử hết cả sáu thao tác vì lo lắng thái quá. Trên thực tế, hầu hết mọi người chỉ cần hai, có thể là ba thao tác.
Khắc phục lỗi rò rỉ DNS trên Windows và macOS
Trên Windows, thủ phạm thường gặp là Smart Multi-Homed Name Resolution và bộ điều hợp Teredo. Hãy tắt cả hai. Sau đó, gán một máy chủ DNS tĩnh cho bộ điều hợp mạng đang hoạt động của bạn. Trên macOS thì nhẹ nhàng hơn: thiết lập DNS thủ công trong cài đặt Mạng, sau đó xóa bộ nhớ cache bằng lệnh `sudo dscacheutil -flushcache`. Dù bằng cách nào, hãy kết nối lại và chạy thử nghiệm rò rỉ DNS một lần nữa. Danh sách trình phân giải chỉ hiển thị VPN của bạn? Xong. Nếu máy chủ ISP cũ của bạn vẫn còn tồn tại, thì rò rỉ đến từ đâu đó ở tầng thấp hơn trong hệ thống.
Hãy bảo mật bộ định tuyến và IPv6 của bạn.
VPN của bạn từ chối tạo đường hầm IPv6? Vậy thì hãy tắt IPv6 ở cấp độ hệ điều hành, để không còn đường dẫn thứ hai nào cho các truy vấn bám vào. Và đừng quên bộ định tuyến. Khi chính bộ định tuyến vẫn trỏ đến máy chủ DNS của nhà cung cấp dịch vụ Internet (ISP), sự rò rỉ chỉ di chuyển một bước lên phía trên, và giải pháp khắc phục gọn gàng ở cấp độ thiết bị của bạn đã âm thầm che giấu bức tranh thực sự. Hãy cấu hình bộ định tuyến để sử dụng máy chủ phân giải mà bạn tin tưởng, và mọi điện thoại, máy tính xách tay và máy chơi game phía sau nó sẽ tự động kế thừa cài đặt đó.
Cài đặt VPN và bảo vệ chống rò rỉ DNS
Mở ứng dụng VPN của bạn và kiểm tra ba tùy chọn: nó sử dụng máy chủ DNS riêng, tính năng bảo vệ chống rò rỉ DNS được bật và tính năng ngắt kết nối khẩn cấp (kill switch) được bật. Hai tính năng cuối cùng không giống nhau, điều này thường gây nhầm lẫn cho nhiều người. Tính năng ngắt kết nối khẩn cấp sẽ chặn hoàn toàn lưu lượng truy cập của bạn ngay khi đường hầm mã hóa bị ngắt. Tính năng bảo vệ chống rò rỉ DNS buộc các truy vấn của bạn phải quay lại thông qua đường hầm đó trong khi nó vẫn đang hoạt động. Bạn cần cả hai. Và bạn cần thực sự kiểm tra chúng, bởi vì "bảo mật mặc định" chỉ là một khẩu hiệu tiếp thị, chứ không phải là một lời hứa.
| Gây ra | Những gì bạn thấy trong bài kiểm tra | Sửa chữa | Ở đâu |
|---|---|---|---|
| Rò rỉ IPv6 | Bộ phân giải IPv6 khác với IPv4. | Tắt IPv6 hoặc chuyển sang VPN khác. | Hệ điều hành / VPN |
| chiếm đoạt ISP | Trình phân giải ISP bất chấp DNS thủ công | Thiết lập DNS mã hóa (DoH hoặc DoT) | Hệ điều hành / bộ định tuyến |
| Windows SMHNR hoặc Teredo | Nhiều bộ phân giải, một trong số đó là của ISP. | Vô hiệu hóa SMHNR và Teredo | Windows |
| Bộ định tuyến sử dụng DNS của nhà cung cấp dịch vụ Internet (ISP). | Cùng một lỗi rò rỉ trên mọi thiết bị. | Thiết lập DNS thủ công cho bộ định tuyến | Bộ định tuyến |
| Tiếp xúc với WebRTC | Địa chỉ IP thực trong trường WebRTC | Vô hiệu hóa WebRTC | Trình duyệt |
Chọn máy chủ DNS không bị rò rỉ thông tin.
Vượt qua bài kiểm tra rò rỉ DNS chỉ là một nửa thành công. Việc bạn trỏ máy chủ phân giải DNS đến đâu cũng quan trọng không kém đường hầm DNS, bởi vì nhà cung cấp DNS có ghi nhật ký vẫn là hoạt động giám sát, chỉ là với logo thân thiện hơn mà thôi. Cloudflare sử dụng 1.1.1.1, Quad9 sử dụng 9.9.9.9, Google sử dụng 8.8.8.8. Cùng một nhiệm vụ, nhưng chính sách ghi nhật ký rất khác nhau. Vì vậy, hãy đọc kỹ chúng. Việc chọn bất kỳ nhà cung cấp nào được đề xuất trên diễn đàn chính là cách khiến mọi người tự cho là "không bị rò rỉ" nhưng vẫn bị theo dõi.
Sau đó, hãy mã hóa chính truy vấn. DNS qua HTTPS (DoH) và DNS qua TLS (DoT) đều mã hóa truy vấn để nhà cung cấp dịch vụ Internet (ISP) của bạn không thể đọc hoặc chiếm đoạt nó giữa chừng. Tuy nhiên, hầu như không ai bận tâm đến điều này. Các phương thức truyền tải được mã hóa chỉ xử lý khoảng 11,3% truy vấn DNS vào đầu năm 2011, và việc xác thực DNSSEC đầu cuối chỉ chiếm một sai số nhỏ, 0,47%, trong quý đầu tiên. Chỉ một thiết lập. Thay đổi nó, và bạn đã âm thầm gia nhập một nhóm nhỏ, được bảo vệ tốt hơn nhiều.
VPN của bạn có thực sự ngăn chặn được rò rỉ DNS không?
Hãy coi ô chọn "Bảo vệ chống rò rỉ DNS" như một lời khẳng định, chứ không phải là một sự đảm bảo. Tỷ lệ rò rỉ chuẩn năm 2016 vẫn tiếp tục xuất hiện trong các nghiên cứu mới năm 2025, điều này cho thấy vấn đề nằm ở cách thức xây dựng các phần mềm VPN, chứ không phải là điều mà ngành công nghiệp đã âm thầm khắc phục. Việc sử dụng VPN khá phổ biến nhưng không phải là phổ biến toàn diện: 32% người trưởng thành ở Mỹ cho biết họ đã sử dụng VPN vào năm 2025, giảm mạnh so với 46% của năm trước đó, theo Security.org. Vì vậy, quy tắc này tuy nhàm chán nhưng hiệu quả. Hãy chạy thử nghiệm rò rỉ DNS vào ngày bạn cài đặt VPN, sau mỗi lần cập nhật hệ điều hành lớn và bất cứ khi nào phần mềm VPN tự động kết nối lại lúc 3 giờ sáng khi bạn không để ý.
Tôi nên làm gì với bài kiểm tra rò rỉ DNS của bạn bây giờ?
VPN làm rò rỉ DNS là một công cụ bảo mật đang nói dối trắng trợn, và cách duy nhất để phát hiện ra sự dối trá đó là phải kiểm tra. Vì vậy, hãy kiểm tra. Chạy thử nghiệm ngay bây giờ, hai lần, tắt VPN và bật VPN. Khắc phục nguyên nhân thực sự gây ra lỗi, hướng thiết bị của bạn đến một máy chủ phân giải được mã hóa mà bạn đã đọc kỹ chính sách của nó, và kiểm tra lại sau bản cập nhật tiếp theo. Nếu bạn đang sử dụng tiền điện tử, hãy coi đường dẫn DNS của bạn là một phần của mô hình rủi ro, chứ không phải là một vấn đề thứ yếu, bởi vì ở đây, sự rò rỉ được đo lường bằng các danh tính được liên kết, chứ không chỉ là lịch sử duyệt web. Một câu hỏi đáng suy ngẫm: nếu thiết lập của bạn đã bị rò rỉ suốt thời gian qua, thì nhà cung cấp dịch vụ Internet (ISP) của bạn đã ghi lại những gì?
