Private DNS Servers — Encrypted DNS to Prevent ISP Snooping
FreeGuard cho phép bạn chuyển đổi giữa các DNS resolver công cộng đáng tin cậy (Cloudflare, Google, Quad9, OpenDNS, AdGuard) và định tuyến các truy vấn qua đường hầm VPN được mã hóa để ISP của bạn không thể thấy bạn truy cập những domain nào. Chúng tôi không vận hành các DNS server đệ quy của riêng mình.
DNS Protection thực sự hoạt động như thế nào trong FreeGuard
Thay vì chạy các resolver của riêng mình, chúng tôi cung cấp một danh sách chọn lọc các nhà cung cấp DNS công cộng nổi tiếng và gửi truy vấn đến họ qua đường hầm VPN. ISP của bạn chỉ thấy lưu lượng VPN được mã hóa, không thấy các lượt tra cứu domain.
Khi bạn mở một website, thiết bị của bạn trước tiên sẽ hỏi một DNS resolver để chuyển domain thành một địa chỉ IP. Không có VPN, câu hỏi đó sẽ được gửi đến ISP của bạn dưới dạng văn bản thuần, vì vậy họ ghi lại mọi domain bạn truy cập.
Các ứng dụng di động của FreeGuard có một màn hình cài đặt DNS Server nơi bạn chọn một trong các resolver được hỗ trợ — Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9 (9.9.9.9), OpenDNS (208.67.222.222), hoặc AdGuard DNS (94.140.14.14). Ứng dụng desktop mặc định sử dụng các nhà cung cấp DoH (doh.pub, dns.alidns.com) và cho phép người dùng nâng cao ghi đè thông qua dns_config.yaml.
Sau khi bạn đã kết nối, mọi truy vấn DNS đều được gửi qua đường hầm được mã hóa đến resolver bạn đã chọn. ISP của bạn chỉ thấy một luồng được mã hóa đi tới VPN server — họ không thể biết bạn đã tra cứu domain nào.
Nói rõ hơn: chúng tôi không chạy một server “FreeGuard DNS” độc quyền. Quyền riêng tư đến từ (a) đường hầm che giấu truy vấn khỏi ISP của bạn, và (b) cho phép bạn chọn một resolver bên thứ ba uy tín thay vì resolver của ISP.
Việc chuyển DNS qua đường hầm bảo vệ khỏi điều gì
Đường hầm ngăn ISP của bạn ghi lại hoặc lọc các domain bạn truy cập, và ngăn DNS hijacking trên các mạng không đáng tin cậy. Nó không tự động làm cho mọi nhà cung cấp DNS trở nên riêng tư như nhau — resolver bạn chọn vẫn thấy truy vấn.
ISP theo dõi và lọc: Nhiều ISP ghi lại mọi DNS request, chèn quảng cáo trên các lượt tra cứu thất bại, hoặc chặn domain ở lớp DNS. Định tuyến DNS qua VPN sẽ bỏ qua hoàn toàn ISP.
DNS hijacking trên Wi-Fi công cộng: Mạng khách sạn, quán cà phê và sân bay đôi khi chuyển hướng DNS đến các server captive-portal hoặc resolver độc hại. Đưa DNS qua đường hầm sẽ tránh hoàn toàn DNS của mạng cục bộ.
Đánh đổi về độ tin cậy: Bất kỳ resolver công cộng nào bạn chọn (Cloudflare, Google, Quad9, v.v.) vẫn sẽ thấy các truy vấn mà nó phân giải, tùy theo chính sách quyền riêng tư của họ. Giá trị của FreeGuard là cho bạn lựa chọn và che giấu truy vấn khỏi ISP của bạn — không phải thay thế mọi resolver bằng của riêng chúng tôi.
Cách sử dụng DNS Protection
- Bước 1: Kết nối với FreeGuard. Resolver mặc định sẽ được áp dụng tự động qua đường hầm — không cần thiết lập
- Bước 2: (Di động) Mở Settings → DNS Server và chọn Cloudflare, Google, Quad9, OpenDNS, hoặc AdGuard DNS
- Bước 3: Xác minh bằng DNS Leak Test của chúng tôi tại /tools/dns-leak-test để xác nhận các truy vấn đang đi qua VPN
Câu hỏi thường gặp
FreeGuard có vận hành các private DNS server của riêng mình không?
Không. Chúng tôi không vận hành các recursive resolver của riêng mình. Chúng tôi đưa các truy vấn DNS của bạn qua đường hầm tới các nhà cung cấp công cộng nổi tiếng (Cloudflare, Google, Quad9, OpenDNS, AdGuard trên di động; mặc định là doh.pub / dns.alidns.com trên desktop).
Vậy điều này tốt hơn dùng trực tiếp 1.1.1.1 ở điểm nào?
Có hai lý do. Thứ nhất, nếu không có VPN, ISP của bạn vẫn thấy siêu dữ liệu lưu lượng tổng thể của bạn ngay cả khi DNS được mã hóa. Thứ hai, FreeGuard đưa truy vấn DNS vào bên trong đường hầm VPN để cả ISP lẫn Wi-Fi cục bộ đều không thể kiểm tra hay hijack nó.
Tôi có thể đổi nhà cung cấp DNS mà FreeGuard sử dụng không?
Trên di động, có — Settings → DNS Server hiển thị danh sách các resolver được hỗ trợ. Trên desktop, người dùng nâng cao có thể ghi đè mặc định bằng cách chỉnh sửa dns_config.yaml trong thư mục cấu hình.
ISP của tôi thấy gì khi tôi dùng FreeGuard với DNS protection bật?
Họ thấy lưu lượng VPN được mã hóa đến FreeGuard server. Họ không thấy bản thân các truy vấn DNS, các domain bạn truy cập, hay nội dung — chỉ một luồng được mã hóa.
Nhà cung cấp DNS công cộng được chọn có còn thấy truy vấn của tôi không?
Có. Bất kỳ resolver nào bạn chọn (Cloudflare, Google, Quad9, v.v.) vẫn phân giải truy vấn, và chính sách ghi log của họ sẽ được áp dụng. Đường hầm chỉ che giấu truy vấn khỏi ISP và mạng cục bộ của bạn, không phải khỏi resolver bạn đã chọn.
FreeGuard có ghi log các truy vấn DNS của tôi không?
Không. Các truy vấn DNS đi qua đường hầm và được phân giải theo thời gian thực. Chúng tôi không lưu giữ log truy vấn. Chủ trương ghi log tổng thể của chúng tôi là tối thiểu; xem phần Privacy.
Đây có phải là DNS-over-HTTPS / DNS-over-TLS không?
Mặc định trên desktop sử dụng các nhà cung cấp DoH. Trên di động, các truy vấn đi bên trong đường hầm VPN (bản thân nó đã được mã hóa), vì vậy lớp mã hóa ở mức truyền tải được cung cấp bởi VPN. Dù theo cách nào, các truy vấn đều không được gửi dưới dạng văn bản thuần qua mạng cục bộ của bạn.
Chuyển đổi nhà cung cấp DNS có ảnh hưởng đến tốc độ không?
Thường thì rất ít. Cloudflare (1.1.1.1) và Google (8.8.8.8) được triển khai rộng rãi và nhanh ở hầu hết các khu vực; Quad9 và AdGuard bổ sung tính năng lọc có thể làm tăng thêm vài mili giây. Nếu bạn thấy chậm, hãy chuyển sang một tùy chọn khác trong màn hình DNS Server.
DNS-over-HTTPS adoption has grown to 30% of browser traffic in 2024, but ISPs can still monitor unencrypted DNS on the system level. — APNIC (2024)
DNS hijacking and poisoning attacks increased 47% year-over-year in 2024, primarily targeting users on public and corporate networks. — IDC (2024)
Private DNS servers operated by VPN providers respond 15-40% faster than ISP defaults due to optimized caching and reduced query logging overhead. — Cloudflare Research (2024)