Quay lại Blog

Ngăn chặn tấn công DNS Hijacking trên Wi-Fi công cộng｜Phòng vệ hoàn toàn với VLESS+Reality

Tổng quan

Mạng Wi-Fi công cộng được sử dụng hàng ngày như quán cà phê, khách sạn, sân bay, ga tàu. Mặc dù tiện lợi, trong các môi trường này, cuộc tấn công xen giữa được gọi là "DNS Hijacking" đã được biết đến từ lâu. Kẻ tấn công lợi dụng lỗ hổng của router Wi-Fi hoặc thiết lập điểm truy cập độc hại (Evil Twin) để chuyển hướng tên miền người dùng nhập (ví dụ: trang web ngân hàng) đến trang web giả mạo, và đánh cắp thông tin đăng nhập cũng như số thẻ tín dụng. Ngay cả trong thời đại HTTPS đã phổ biến, vẫn có khả năng bị tấn công ở giai đoạn phản hồi DNS ban đầu, đây là rủi ro không thể chủ quan.

Bài viết này giải thích kỹ thuật về cơ chế tấn công DNS Hijacking và cách giao thức VLESS+XTLS-Reality của Vless bảo vệ hoàn toàn truy vấn DNS của người dùng khỏi rủi ro này. Cung cấp nội dung cụ thể có thể thực hành ngay, từ cài đặt khuyến nghị trong ứng dụng Hiddify, phương pháp xác minh, đến thực hành tốt nhất để triển khai cho gia đình và thành viên nhóm. Đối với người làm việc từ xa, doanh nhân đi công tác, và khách du lịch quốc tế, bảo mật giao tiếp trong môi trường Wi-Fi công cộng là chủ đề quan trọng cả về tính liên tục của công việc và bảo vệ quyền riêng tư.

Tại sao Bảo mật lại quan trọng ngày nay

Có biện pháp phòng vệ chống tấn công DNS Hijacking không chỉ ở mức "phòng hờ", mà còn liên quan trực tiếp đến việc tránh thiệt hại sử dụng thực tế trong 5 tình huống cụ thể sau. Phương thức tấn công ngày càng tinh vi hơn mỗi năm, và tính đến năm 2026, các cuộc tấn công có mục tiêu nhằm vào tài sản tiền điện tử và thông tin nhạy cảm cũng đã được báo cáo.

• Bảo vệ thông tin xác thực khi truy cập ứng dụng ngân hàng và dịch vụ đám mây (Slack, Notion, v.v.) trong khi làm việc tại quán cà phê hoặc không gian làm việc chung
• Ngăn chặn đánh cắp thông tin thẻ tín dụng khi đăng nhập vào các dịch vụ du lịch như Booking.com hoặc Expedia khi sử dụng Wi-Fi khách sạn
• Tránh rò rỉ thông tin doanh nghiệp bằng cách ngăn chặn chuyển hướng đến trang web lừa đảo khi kiểm tra email công ty tại phòng chờ sân bay
• Giảm thiểu rủi ro vượt qua xác thực khu vực khi đăng nhập vào mạng xã hội Nhật Bản và trang thương mại điện tử từ Wi-Fi miễn phí ở nước ngoài
• Bảo vệ hoàn toàn đường dẫn giao tiếp khi kết nối với sàn giao dịch tiền điện tử để ngăn chặn trộm tài sản qua chuyển hướng đến trang web giả

Giao thức VLESS+XTLS-Reality áp dụng phương châm "hoàn thành truy vấn DNS bên trong đường hầm mã hóa" ngay từ giai đoạn thiết kế, tạo ra cấu trúc mà bản thân truy vấn tên miền của người dùng không thể nhìn thấy được từ máy chủ DNS độc hại hay router trên mạng cục bộ (Wi-Fi công cộng). Vless tận dụng tối đa thiết kế này, sử dụng cấu hình mặc định của ứng dụng Hiddify để ngăn chặn hoàn toàn rò rỉ DNS. Nhờ đó, ngay cả người dùng phổ thông không có kiến thức kỹ thuật cũng được bảo vệ khỏi mối đe dọa DNS Hijacking chỉ bằng cách bật ứng dụng.

Cách tiếp cận

Bước 1: Hiểu cơ chế tấn công DNS Hijacking

Quy trình tấn công DNS Hijacking điển hình như sau. Kẻ tấn công cài đặt cấu hình bất hợp pháp vào router Wi-Fi công cộng, hoặc thiết lập điểm truy cập giả (Evil Twin) ở khu vực lân cận. Khi người dùng nhập "example-bank.com" trong trình duyệt, truy vấn DNS được gửi từ thiết bị qua router, nhưng máy chủ DNS dưới sự kiểm soát của kẻ tấn công sẽ trả về phản hồi giả (địa chỉ IP của trang web lừa đảo). Người dùng bị chuyển hướng đến trang web giả có giao diện giống hệt và nhập thông tin đăng nhập. Ngay cả khi đã có HTTPS, vì phản hồi DNS ban đầu bị giả mạo, mặc dù tên miền trên thanh URL giống nhau, đích đến giao tiếp thực tế có thể là máy chủ của kẻ tấn công. VLESS+XTLS-Reality đóng kín truy vấn DNS từ thiết bị bên trong đường hầm mã hóa, và phân giải tên thông qua máy chủ DNS an toàn ở phía máy chủ Vless (DoH của Cloudflare, DNS của Quad9, v.v.), do đó việc hijacking trên mạng cục bộ về nguyên tắc không thể xảy ra.

Bước 2: Cài đặt ngăn chặn rò rỉ DNS hoàn toàn trong ứng dụng Hiddify

Trong phiên bản mới nhất của ứng dụng Hiddify (tính đến tháng 5 năm 2026), ngăn chặn rò rỉ DNS được kích hoạt mặc định, nhưng chúng tôi sẽ trình bày các bước xác minh và tối ưu hóa. Mở "Cài đặt" → "Nâng cao" → "DNS" của ứng dụng, xác nhận rằng "Bắt buộc DNS trong VPN" đang BẬT. Kích hoạt "Ưu tiên DoH (DNS over HTTPS)", và chọn nhà cung cấp DoH được khuyến nghị (Cloudflare 1.1.1.1, Quad9 9.9.9.9). Đặt "Ngăn rò rỉ DNS IPv6" cũng BẬT. Nhờ đó, cấu hình hoàn chỉnh trong đó truy vấn DNS không bị rò rỉ ra ngoài đường hầm mã hóa qua bất kỳ đường dẫn IPv4 hay IPv6 nào. Sau khi cài đặt, kết nối thiết bị với Wi-Fi công cộng và truy cập "dnsleaktest.com" hoặc "ipleak.net" trong trình duyệt. Xác nhận rằng máy chủ DNS hiển thị là của nhà cung cấp VPN, và là địa chỉ IP của quốc gia đặt máy chủ Vless (Nhật Bản hoặc quốc gia người dùng đã chọn). Nếu không có rò rỉ, các trang này sẽ không hiển thị bất kỳ thông tin router Wi-Fi công cộng hoặc thông tin ISP gốc nào.

Bước 3: Thực hành tốt nhất để triển khai cho gia đình và thành viên nhóm

Trình bày quy trình triển khai để thống nhất mức độ bảo mật trong gia đình hoặc nhóm nhỏ. Trên màn hình quản trị Vless có chức năng cấp tài khoản phụ cho gia đình/nhóm, có thể tạo nhiều hồ sơ khách hàng (mã QR) từ tài khoản chính. Sau khi cài đặt ứng dụng Hiddify trên điện thoại thông minh và máy tính bảng của từng thành viên gia đình, chỉ cần quét mã QR là hoàn tất thiết lập. Bằng cách kích hoạt chức năng "Kết nối luôn luôn" của ứng dụng, VPN sẽ tự động khởi động khi thành viên kết nối với Wi-Fi công cộng mà không cần nhận thức. Cũng có lựa chọn biến chính router thành VPN trong nhà, trong trường hợp này tất cả thiết bị (TV thông minh, máy chơi game, thiết bị IoT) sẽ tự động được bảo vệ. Vless hỗ trợ các cấu hình này như tiêu chuẩn trong gói gia đình, và có thể tạo môi trường mà các thành viên gia đình không có kiến thức kỹ thuật cũng dễ dàng tận hưởng bảo mật cao cấp.

Tóm tắt

Q: Nếu có HTTPS (hiển thị biểu tượng khóa), có cần lo lắng về DNS Hijacking không?

A: Đúng một phần, nhưng nếu phản hồi DNS tại kết nối ban đầu bị giả mạo, người dùng có thể bị chuyển hướng đến HTTPS của trang web giả (trang web có chứng chỉ hợp lệ mà kẻ tấn công đã lấy được). Chỉ với biểu tượng khóa trên thanh URL, không thể phân biệt đó là "HTTPS hợp lệ của trang web hợp lệ" hay "HTTPS hợp lệ của trang web giả". VLESS+XTLS-Reality giải quyết nguyên nhân gốc rễ này bằng cách bảo vệ chính truy vấn DNS.

Q: Trên kết nối nhà mạng di động (4G/5G) có lo ngại về DNS Hijacking không?

A: Trên kết nối nhà mạng, rủi ro không cao bằng Wi-Fi công cộng, nhưng có thể xảy ra các tình huống như khi roaming quốc tế, lỗi cấu hình DNS công cộng do nhà mạng cung cấp, hoặc xâm nhập của thiết bị trung gian độc hại. Vì bảo vệ DNS của VLESS+XTLS-Reality được áp dụng đồng nhất bất kể loại kết nối, có thể nhận được mức bảo vệ tương đương ngay cả khi sử dụng kết nối nhà mạng.

Q: Khi được trẻ em hoặc thành viên gia đình lớn tuổi nhờ thiết lập, có quy trình đơn giản nào không?

A: Ứng dụng Hiddify của Vless được thiết kế để hoàn tất cài đặt chỉ bằng cách quét mã QR. Chia sẻ mã QR mà người dùng chính đã thiết lập sẵn, mở ứng dụng Hiddify trên điện thoại của đối phương và quét bằng camera, hồ sơ sẽ được tự động nhập và kết nối VPN bắt đầu. Nếu kích hoạt "Kết nối luôn luôn", đối phương cũng không cần thao tác bật/tắt có ý thức.

Tấn công DNS Hijacking trên Wi-Fi công cộng vẫn là phương thức tấn công hiệu quả ngay cả trong thời đại giao tiếp mã hóa đã phổ biến, và sử dụng VPN phù hợp là biện pháp phòng vệ quyết định. Giao thức VLESS+XTLS-Reality của Vless thực hiện cấu trúc mà về nguyên tắc không cho phép DNS Hijacking diễn ra, thông qua thiết kế đóng kín truy vấn DNS bên trong đường hầm mã hóa. Vless cho phép bạn xác nhận hiệu quả ngăn chặn rò rỉ DNS trong môi trường Wi-Fi công cộng thực tế trong thời gian dùng thử miễn phí 2 ngày.