DNS แปลงชื่อโดเมนที่เข้าใจง่ายสำหรับมนุษย์ให้เป็น ที่อยู่ IP ที่เครื่องคอมพิวเตอร์เข้าใจได้ ส่วน DNS ส่วนตัวจะเข้ารหัสคำถาม DNS ที่ส่งจากอุปกรณ์ไปยังเซิร์ฟเวอร์ DNS เมื่อใช้บริการ DNS ของบุคคลที่สามที่เคารพความเป็นส่วนตัว DNS ส่วนตัวจะช่วยเพิ่มความเป็นส่วนตัวออนไลน์ได้ อย่างไรก็ตาม ไม่จำเป็นต้องใช้ DNS ส่วนตัวเมื่อใช้ VPN และอาจทำให้การเชื่อมต่อ VPN มีความปลอดภัยน้อยลงด้วยซ้ำ

บทความนี้จะพาไปดูว่า DNS ส่วนตัวคืออะไร ช่วยปกป้องความเป็นส่วนตัวอย่างไร และจะเปิดใช้งานบนอุปกรณ์ได้อย่างไร รวมถึงเหตุผลที่ไม่ควรใช้ร่วมกับ VPN ด้วย

DNS คืออะไร?

Domain Name System (DNS) จะจับคู่ชื่อโดเมนที่มนุษย์เข้าใจง่ายกับที่อยู่ IP ตัวเลขที่คอมพิวเตอร์เข้าใจได้

ตัวอย่างเช่น เว็บไซต์ Proton VPN ใช้ชื่อโดเมน protonvpn.com ซึ่งตรงกับที่อยู่ IP 185.159.159.140 เมื่อพิมพ์ www.protonvpn.com ลงในแถบ URL ของเบราว์เซอร์ ชื่อโดเมนจะต้องได้รับการแปลงเป็นที่อยู่ IP ที่ตรงกันเพื่อให้คอมพิวเตอร์เข้าใจได้

กระบวนการแปลงนี้มักจะดำเนินการโดยเซิร์ฟเวอร์ DNS พิเศษที่รันโดยผู้ให้บริการอินเทอร์เน็ต (ISP)

เรียนรู้เพิ่มเติมเกี่ยวกับ DNS

ทำไม DNS จึงสร้างปัญหาด้านความเป็นส่วนตัวและการเซ็นเซอร์

ผู้ใดก็ตามที่แก้ปัญหาคำถาม DNS จะสามารถเห็นได้ว่าเข้าชมเว็บไซต์ใดบ้าง (แต่จะไม่เห็นว่าทำอะไรบนเว็บไซต์นั้นบ้าง) หากไม่ได้ใช้ VPN หรือเปลี่ยนการตั้งค่า DNS ด้วยตนเอง ISP ก็จะเป็นผู้แก้ปัญหาคำถาม DNS เหล่านั้น

สิ่งสำคัญคือต้องเข้าใจว่า ตามค่าเริ่มต้น ISP สามารถตรวจสอบประวัติการทำกิจกรรมออนไลน์ได้ แม้ว่าจะไม่ได้แก้ปัญหาคำถาม DNS ก็ตาม อย่างไรก็ตาม นี่เป็นวิธีที่ง่ายที่สุด (และประหยัดที่สุด) สำหรับ ISP ในการบันทึกประวัติการท่องเว็บ

ดังนั้น ISP ส่วนใหญ่ที่บันทึกประวัติการท่องเว็บของลูกค้า (ซึ่งก็คือ ISP ส่วนใหญ่) จึงมักเลือกวิธีที่ง่ายที่สุด และจำกัดการทำงานอยู่เพียงการบันทึกระเบียน DNS ของลูกค้า ในเขตอำนาจศาลส่วนใหญ่ การบันทึกข้อมูลในระดับขั้นต่ำนี้ช่วยให้ ISP ปฏิบัติตามข้อผูกพันทางกฎหมายในการบันทึกประวัติการท่องเว็บของผู้ใช้ได้

ในทำนองเดียวกัน เมื่อรัฐบาลต้องการเซ็นเซอร์เนื้อหาอินเทอร์เน็ตด้วยเหตุผลทางสังคม ศาสนา การเมือง หรือ “ศีลธรรม” รัฐบาลจะขอให้ ISP ในประเทศดำเนินการบล็อกดังกล่าว และวิธีที่ง่ายที่สุดคือการบล็อกคำถาม DNS ไปยังเว็บไซต์และแอปที่ระบุ การใช้ตัวแก้ปัญหา DNS ของบุคคลที่สามระหว่างประเทศจะช่วยหลีกเลี่ยงการบล็อกเพื่อเซ็นเซอร์ที่เรียบง่าย (แต่มีประสิทธิภาพ) เหล่านี้ได้

DNS can be used to defeat censorship

ภาพกราฟฟิตีในอิสตันบูลเพื่อรณรงค์ให้ผู้คนหันมาใช้เซิร์ฟเวอร์ Google DNS เพื่อหลีกเลี่ยง การปราบปรามเซ็นเซอร์ของรัฐบาลในปี 2014(หน้าต่างใหม่)

โหมด DNS ส่วนตัวคืออะไร?

ต่างจากการเชื่อมต่อเว็บไซต์ส่วนใหญ่ที่ได้รับการ ปกป้องด้วย HTTPS(หน้าต่างใหม่) คำถาม DNS มักจะถูกส่งเป็นข้อความธรรมดาที่ไม่ได้เข้ารหัสลับ ซึ่งหมายความว่าใครก็ตามที่สามารถเข้าถึงคำถาม DNS (เช่น ISP) จะสามารถอ่านข้อความเหล่านั้นได้ แม้ว่าคำถามเหล่านั้นจะได้รับการแก้ปัญหาโดยบุคคลที่สามก็ตาม

หาก ISP พยายามสอดแนมลูกค้าเพิ่มเติม (ตามที่อาจได้รับการร้องขอจากรัฐบาลที่มีข้อจำกัดเข้มงวดมากขึ้น) ก็สามารถทำได้ง่ายๆ โดยการตรวจสอบและบันทึกคำถาม DNS ไปยังตัวแก้ปัญหาของบุคคลที่สาม และหากใช้เทคโนโลยีที่ซับซ้อนยิ่งขึ้น ก็จะสามารถคัดกรองคำถามเหล่านี้เพื่อปิดกั้นหรือเซ็นเซอร์เนื้อหาได้เช่นกัน

DNS ส่วนตัวจะช่วยป้องกันปัญหานี้โดยการเข้ารหัสคำถาม DNS ขณะส่งข้อมูลระหว่างอุปกรณ์และเซิร์ฟเวอร์ DNS ของบุคคลที่สาม ซึ่งช่วยให้มั่นใจได้ว่า ISP (หรือใครก็ตามที่คอยตรวจสอบการเชื่อมต่ออินเทอร์เน็ต) จะไม่สามารถเห็นคำถาม DNS ได้

ดังนั้น DNS ส่วนตัวจึงแสดงถึงการปรับปรุงที่สำคัญในด้านความเป็นส่วนตัวและความปลอดภัยของ DNS เมื่อเทียบกับคำถาม DNS แบบเดิมที่ไม่ได้เข้ารหัสลับ อย่างไรก็ตาม ยังมีข้อจำกัดบางประการที่จะกล่าวถึงในภายหลัง

โปรโตคอล DNS ส่วนตัว

การใช้งาน DNS ส่วนตัวสามารถทำได้โดยใช้หนึ่งในสามโปรโตคอลความปลอดภัย ได้แก่ DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) และ DNSCrypt

DNS-over-TLS

DoT เข้ารหัสคำถาม DNS โดยใช้โปรโตคอล Transport Layer Security(หน้าต่างใหม่) (TLS) เพื่อให้มั่นใจว่าข้อมูลจะไม่สามารถถูกดักจับหรือแก้ไขได้ง่ายๆ DoT ทำงานผ่านพอร์ต 853 ทำให้เครือข่ายสามารถบล็อกหรือตรวจสอบทราฟฟิก DoT โดยเฉพาะได้ง่ายขึ้น เนื่องจากไม่ได้ปะปนกับทราฟฟิกประเภทอื่น

สิ่งนี้ทำให้ DoT เป็นตัวเลือกยอดนิยมสำหรับเครือข่ายที่ต้องการควบคุมทราฟฟิกที่วิ่งผ่าน นอกจากนี้ DoT ยังมีความซับซ้อนน้อยกว่าในการปรับใช้ในระดับเซิร์ฟเวอร์เมื่อเทียบกับ DoH

DNS-over-HTTPS

DoH ใช้ HTTPS ซึ่งเป็นโปรโตคอลที่รักษาความปลอดภัยข้อมูลสำคัญทั้งหมดบนอินเทอร์เน็ต เพื่อเข้ารหัสคำถาม DNS เช่นเดียวกับ DoT ตัว DoH จะใช้ TLS เพื่อเข้ารหัสคำถาม DNS แต่การเชื่อมต่อ DoH จะทำงานผ่านพอร์ต 443 ดังนั้นข้อมูลจึงผสมผสานไปกับทราฟฟิกเว็บ HTTPS ตามปกติ ส่งผลให้ผู้เฝ้าดูแยกแยะทราฟฟิก DNS จากทราฟฟิกเว็บประเภทอื่นได้ยาก ทำให้ DoH มีความเป็นส่วนตัวและทนทานต่อการเซ็นเซอร์มากกว่า DoT

เรียนรู้เพิ่มเติมเกี่ยวกับ HTTPS(หน้าต่างใหม่)

DNSCrypt

DNSCrypt ซึ่งเป็นโปรโตคอล DNS ส่วนตัวที่เก่าแก่ที่สุด มีความคล้ายคลึงกับ DoH มาก แต่มีคุณสมบัติเพิ่มเติมบางอย่างที่พัฒนาขึ้นจาก DoH อย่างไรก็ตาม DNSCrypt ไม่ได้รับการสนับสนุนอย่างกว้างขวางจากระบบปฏิบัติการและเบราว์เซอร์ จึงจำเป็นต้องรันด้วย ซอฟต์แวร์ของบุคคลที่สาม(หน้าต่างใหม่)

แล้วแบบไหนดีที่สุด? โปรโตคอล DNS ส่วนตัวทั้งหมดนี้ช่วยยกระดับความเป็นส่วนตัวและความปลอดภัยได้อย่างมากเมื่อเทียบกับการไม่ใช้ DNS ส่วนตัวเลย และแทบไม่มีผลกระทบต่อความเร็วในการท่องเว็บ แม้ว่าจะมีเหตุผลที่สมควรสำหรับบางเครือข่ายที่เลือกใช้ DoT แต่สำหรับผู้ใช้ทั่วไปส่วนใหญ่ ความเป็นส่วนตัวที่มากกว่าของ DoH ทำให้เป็นตัวเลือกที่ดีกว่าในบรรดาสองตัวเลือกนี้

ในหลายๆ ด้าน และแม้ว่าจะเป็นตัวเลือกที่เก่าแก่ที่สุด แต่ DNSCrypt ก็ยังคงเป็นตัวเลือกที่ดีที่สุดในแง่ของความเป็นส่วนตัว อย่างไรก็ตาม การขาดการสนับสนุนในระบบนิเวศ DNS ส่งผลให้ความนิยมมีจำกัด สำหรับเนื้อหาที่เหลือในบทความนี้ จะเน้นไปที่ DoT และ DoH เนื่องจากโปรโตคอลเหล่านี้ไม่จำเป็นต้องดาวน์โหลดซอฟต์แวร์เพิ่มเติม

DNS ส่วนตัวไม่ได้ให้ความเป็นส่วนตัวเท่ากับ VPN

DNS ส่วนตัวให้ข้อดีบางประการด้านความเป็นส่วนตัว แต่จะได้ผลเฉพาะเมื่อ ISP (มักจะทำตามคำสั่งของรัฐบาล) เลือกใช้วิธีการง่ายๆ และไม่ได้พยายามเซ็นเซอร์เนื้อหาหรือสอดแนมอย่างจริงจัง แม้ว่าอาจต้องใช้ความพยายามเพิ่มเติม แต่ ISP ก็สามารถแกะรอยการเชื่อมต่อเพื่อดูประวัติการท่องเว็บ และสามารถบล็อกทราฟฟิกไปยังที่อยู่ IP เฉพาะเจาะจงได้โดยตรง

เพื่อป้องกันไม่ให้ ISP สามารถมองเห็นกิจกรรมออนไลน์ (และอาจปิดกั้นหรือเซ็นเซอร์กิจกรรมนั้นได้) ควรใช้ VPN ซึ่งจะเข้ารหัสการเชื่อมต่อระหว่างอุปกรณ์และเซิร์ฟเวอร์ VPN ทำให้ ISP ไม่สามารถมองเห็นเนื้อหาข้อมูลได้ คำถาม DNS จะถูกส่งผ่านการเชื่อมต่อที่เข้ารหัส (หรือที่เรียกว่า อุโมงค์ VPN) เพื่อไปแก้ปัญหาโดยผู้ให้บริการ VPN ส่งผลให้ ISP ไม่สามารถทราบได้ว่าเข้าชมเว็บไซต์ใดหรือเข้าถึงทรัพยากรอื่นๆ ใดบนอินเทอร์เน็ต

How a VPN works on your iPhone

ในทำนองเดียวกัน เว็บไซต์ที่เข้าชมจะไม่สามารถเห็นที่อยู่ IP จริงได้ ทั้งหมดที่เห็นคือที่อยู่ IP ของเซิร์ฟเวอร์ VPN

ISP และเว็บไซต์ที่คุณเยี่ยมชมจะเห็นที่อยู่ IP ของเซิร์ฟเวอร์ VPN

ดังนั้น VPN จึงให้ความเป็นส่วนตัวมากกว่าบริการ DNS ส่วนตัวอย่างมาก

ไม่ควรใช้ DNS ส่วนตัวร่วมกับ VPN

ผู้ให้บริการ VPN ที่ดีทุกรายต่างมีเซิร์ฟเวอร์ DNS ของตัวเอง เมื่อใช้ VPN คำขอ DNS จะถูกส่งผ่านอุโมงค์ VPN และแก้ปัญหาโดยบริการ VPN เนื่องจากอุโมงค์ VPN มีการเข้ารหัสอยู่แล้ว คำขอ DNS จึงได้รับการเข้ารหัสโดยไม่จำเป็นต้องใช้โปรโตคอล DNS ส่วนตัวเพิ่มเติม

นอกจากนี้ การกำหนดค่าบริการ DNS ของบุคคลที่สามบนระบบ มีโอกาสที่จะทำให้คำขอ DNS ถูกส่งออกไปนอกอุโมงค์ VPN มากยิ่งขึ้น DNS ส่วนตัวจะเพิ่มโอกาสในการเกิดปัญหานี้ เนื่องจากการเข้ารหัสคำถาม DNS จะทำให้มาตรการป้องกัน DNS ที่ใช้โดยซอฟต์แวร์ VPN ตรวจสอบความถูกต้องของการกำหนดเส้นทางผ่านอุโมงค์ VPN ได้ยากขึ้น

ดังนั้น นอกจากจะ ไม่มีความจำเป็นต้องใช้ DNS ส่วนตัวเมื่อใช้ VPN แล้ว ยังอาจทำให้เกิด การรั่วไหลของ DNS ได้อีกด้วย

วิธีใช้งาน DNS ส่วนตัว

การใช้งาน DNS ส่วนตัว ขั้นแรกต้องเลือกตัวแก้ปัญหา DNS ที่รองรับ DoT หรือ DoH (นอกจากนี้ยังสามารถโฮสต์เซิร์ฟเวอร์ DNS ด้วยตนเองได้ แต่ต้องอาศัยทักษะทางเทคนิคขั้นสูง) บริการ DNS ยอดนิยมที่รองรับ DNS ส่วนตัวและให้ความสำคัญกับความเป็นส่วนตัว มีดังนี้:

  • Cloudflare 1.1.1.1 — บริการ DNS เชิงพาณิชย์ขนาดใหญ่นี้จะรวบรวมเฉพาะ “ข้อมูลคำถาม DNS ที่ไม่ระบุตัวตนซึ่งถูกส่งไปยังตัวแก้ปัญหาของ Cloudflare” เท่านั้น Cloudflare รองรับทั้ง DoT และ DoH 
  • Quad9 — บริการ DNS ที่ไม่แสวงหากำไรซึ่งไม่มีการเก็บข้อมูลที่สามารถระบุตัวตนของผู้ใช้ได้ ที่สำคัญคือไม่มีการจัดเก็บที่อยู่ IP ของผู้ใช้เมื่อทำการค้นหาข้อมูล Quad9 สนับสนุน DoH
  • OpenNIC — OpenNIC นำเสนอตัวเองในฐานะผู้ให้บริการ DNS แบบกระจายศูนย์ เปิดกว้าง ไม่เซ็นเซอร์ และเป็นประชาธิปไตย โดยเป็นกลุ่มเซิร์ฟเวอร์ DNS ที่ดำเนินการโดยอาสาสมัครซึ่งตั้งอยู่ทั่วโลก แตกต่างจากบริการ DNS ส่วนใหญ่ที่ใช้ที่อยู่ DNS เดียว (เช่น 1.1.1.1) เพื่อเชื่อมต่อกับเครือข่ายเซิร์ฟเวอร์ DNS แต่สำหรับ OpenNIC จะเป็นการเลือกเซิร์ฟเวอร์ DNS แต่ละเครื่องเพื่อเชื่อมต่อ ทั้งนี้นโยบายการบันทึกข้อมูล และการที่ว่าจะสนับสนุน DNS ส่วนตัวหรือไม่ (ซึ่งมักอยู่ในรูปแบบของโปรโตคอล DNSCrypt รุ่นเก่า) จะขึ้นอยู่กับผู้ที่ควบคุมเซิร์ฟเวอร์ DNS ที่เลือกโดยสิ้นเชิง 

เมื่อเลือกผู้ให้บริการ DNS แล้ว จะมีสองตัวเลือก โดยสามารถกำหนดค่าระบบปฏิบัติการ (OS) เพื่อกำหนดเส้นทางคำสั่งสอบถาม DNS ทั้งหมดไปยังผู้ให้บริการที่เลือก หรือจะกำหนดค่าเฉพาะเบราว์เซอร์ให้ใช้บริการ DNS ส่วนตัวก็ได้

ระบบปฏิบัติการสมัยใหม่ทั้งหมดสนับสนุน DoT หรือ DoH (หรือทั้งสองอย่าง) เช่นเดียวกับเบราว์เซอร์สมัยใหม่ทั้งหมด โดยค่าเริ่มต้น Firefox จะเชื่อมต่อกับเซิร์ฟเวอร์ Cloudflare 1.1.1.1 โดยอัตโนมัติโดยใช้ DoH

โหมด DNS ส่วนตัวจะถูกเปิดใช้งานโดยค่าเริ่มต้นในเบราว์เซอร์ Firefox

บทสรุปส่งท้ายเกี่ยวกับ DNS ส่วนตัว

DNS ส่วนตัวมีความเป็นส่วนตัว ปลอดภัย และทนทานต่อการเซ็นเซอร์มากกว่า DNS ทั่วไปที่ไม่ได้เข้ารหัสลับอย่างมาก และผู้ให้บริการ DNS บางรายอย่างน้อยก็ใส่ใจในเรื่องความเป็นส่วนตัวมากกว่า ISP อย่างมาก ดังนั้นหากไม่ได้ใช้ VPN ก็ควรตั้งค่าระบบหรือเบราว์เซอร์ให้ใช้บริการ DNS ที่น่าเชื่อถือซึ่งสนับสนุน DNS ส่วนตัว

อย่างไรก็ตาม VPN ให้ความเป็นส่วนตัวมากกว่าและมีประสิทธิภาพในการเอาชนะการเซ็นเซอร์มากกว่าการใช้ DNS ส่วนตัวอย่างมาก เพียงแต่ต้องตระหนักว่าไม่ควร (และไม่จำเป็นต้อง) ใช้ DNS ส่วนตัวเมื่อใช้งาน VPN