Các phương pháp chặn website hoạt động như thế nào: kỹ thuật thực sự
Last updated: tháng 4 9, 2026
Tìm hiểu cách chính phủ và ISP chặn website qua DNS filtering, IP blocking, DPI, và các phương pháp khác. Hướng dẫn kỹ thuật cho người mới bắt đầu.
Hãy tưởng tượng bạn cố gắng gửi một lá thư tới địa chỉ bị cấm. Người gửi bưu điện không biết nội dung thư, nhưng họ thấy địa chỉ và từ chối gửi. Hoặc nếu họ mở thư trước để kiểm tra, họ có thể cấm bất kỳ lá thư nào viết về chủ đề "nguy hiểm". Hoặc họ có thể cắt điện thoại toàn bộ. Chặn website hoạt động theo cách tương tự — nhưng có nhiều cách khác nhau để làm điều đó, mỗi cách với chi phí, hiệu quả, và dấu vết khác nhau.
Khi bạn truy cập một website, máy tính của bạn thực hiện một loạt các bước: nó tìm địa chỉ IP của trang web (giống như tìm kiếm số điện thoại), kết nối tới máy chủ đó, và yêu cầu dữ liệu. Mỗi bước này có thể bị gián đoạn. Cách chặn nào được sử dụng phụ thuộc vào chi phí mà người kiểm duyệt sẵn sàng chấp nhận, mức độ phức tạp họ muốn duy trì, và có bao nhiêu người biết điều đó đang xảy ra.
Lọc DNS: Chặn "danh bạ điện thoại" internet
DNS là hệ thống chuyển đổi tên website (như example.com) thành địa chỉ IP thực sự mà máy tính có thể kết nối tới. Nếu bạn tưởng tượng DNS như danh bạ điện thoại chung, lọc DNS giống như trang bị cho danh bạ đó những trang bị xoá.
Khi bạn gõ "example.com" vào trình duyệt, máy tính gửi truy vấn tới một máy chủ DNS. Nếu máy chủ đó được kiểm soát bởi nhà cung cấp dịch vụ internet (ISP) hoặc chính phủ, nó có thể trả lời "tôi không biết địa chỉ đó" hoặc trả lại một địa chỉ IP giả. Máy tính của bạn không bao giờ tìm thấy website thực sự.
Ủu điểm của lọc DNS: nó rẻ, dễ thiết lập, và không yêu cầu quá nhiều công suất máy tính. Nhược điểm: rất dễ vượt qua. Nếu bạn sử dụng một máy chủ DNS khác (được điều hành bởi một công ty không kiểm duyệt), bạn có thể nhận được câu trả lời đúng. Hàng chục máy chủ DNS công cộng tồn tại và thường hoàn toàn miễn phí sử dụng. Đó là lý do tại sao lọc DNS thường được sử dụng ở những nơi người dùng không kỳ vọng sẽ cố gắng vượt qua nó hoặc không biết cách làm.
Chặn IP: Từ chối kết nối tới một địa chỉ
Mỗi máy chủ trên internet có một "địa chỉ nhà" — một địa chỉ IP, giống như một địa chỉ bưu điện. Chặn IP là cách đơn giản nhất: ISP hoặc chính phủ yêu cầu tất cả các máy tính trong mạng của họ từ chối kết nối tới những địa chỉ IP nhất định.
Điều này xảy ra ở cấp "bộ định tuyến" — các thiết bị vật lý điều khiển luồng dữ liệu qua mạng. Khi một gói dữ liệu cố gắng đi tới một địa chỉ IP bị cấm, nó bị thả xuống.
Ủu điểm: khó vượt qua hơn lọc DNS, vì nó hoạt động ở mức độ thấp hơn. Nhược điểm: nó thường yêu cầu bộ phận kỹ thuật chuyên dụng để quản lý, và bạn có thể chặn một toàn bộ máy chủ nếu nhiều website chia sẻ cùng một địa chỉ IP. Ngoài ra, nếu website di chuyển tới một máy chủ khác với địa chỉ IP mới, danh sách chặn phải được cập nhật thủ công.
Kiểm tra SNI và DPI: Đọc phần đầu của thư bạn
SNI (Server Name Indication) là một phần của cách bạn kết nối với một website an toàn (HTTPS). Nó cho phép bạn nói với máy chủ "tôi muốn nói chuyện với example.com" trước khi cả hai bạn mã hoá cuộc trò chuyện của mình. Vấn đề: có người đứng giữa — ISP hoặc chính phủ — có thể nhìn thấy tên website đó trong thông báo này, ngay cả khi họ không thể đọc nội dung của trang web.
DPI (Deep Packet Inspection) là công nghệ mạnh mẽ hơn. Thay vì chỉ nhìn "địa chỉ" của một gói dữ liệu (như chúng tôi làm với IP hoặc SNI), DPI xem xét nội dung thực tế của gói đó. Hãy tưởng tượng nó như mở mọi thư bưu điện, đọc nội dung, và từ chối gửi những cái có chứa những từ khóa bị cấm.
Ủu điểm: rất hiệu quả chống lại những người cố gắng ẩn những gì họ đang làm. Nhược điểm: rất đắt. DPI yêu cầu máy tính mạnh mẽ để quét mọi gói dữ liệu. Nó tạo ra sự chậm trễ. Và nó có thể bị vượt qua nếu dữ liệu được mã hoá hoặc che giấu bên trong một kết nối khác (đó là lý do tại sao mã hoá đầu cuối là một công cụ mạnh mẽ). Chỉ những quốc gia hoặc ISP có hạ tầng cơ bản rất tốt mới có thể sử dụng DPI trên toàn quốc.
Cắt điện ở cấp BGP: Xoá một phần của internet
BGP (Border Gateway Protocol) là hệ thống chỉ đạo dữ liệu qua internet toàn cầu. Chính phủ có thể sử dụng nó để nói với phần còn lại của internet "đừng gửi dữ liệu tới các địa chỉ IP này, chúng không tồn tại ở đây". Kết quả: website trở nên vô hình đối với hầu hết cả thế giới.
Ủu điểm: có thể chặn một website toàn bộ, ngay cả từ bên ngoài đất nước. Nhược điểm: nó ảnh hưởng đến toàn bộ các khu vực của internet, và cơ sở hạ tầng quốc tế thường phát hiện và báo cáo nó. Các quốc gia hiếm khi sử dụng nó trừ khi trong tình trạng khủng hoảng hoặc cần che giấu hoàn toàn một website.
Throttling: Làm cho kết nối chậm
Thay vì chặn hoàn toàn, một số ISP hoặc chính phủ đơn giản làm cho việc truy cập một website rất chậm mà nó trở nên vô dụng. Điều này được gọi là throttling. Nó khó phát hiện hơn chặn hoàn toàn và dễ phủ nhận.
Cắt toàn bộ kết nối
Cách chặn "cuối cùng" là cắt một phần hoặc toàn bộ internet. Myanmar làm điều này vào năm 2021. Các quốc gia khác đã cắt dịch vụ di động hoặc một số ISP cụ thể. Điều này rất hiệu quả nhưng có chi phí kinh tế và chính trị rất cao.
Mẹo chính: mỗi phương pháp chặn là một sự đánh đổi. DNS filtering rẻ nhưng dễ vượt qua. IP blocking khó hơn nhưng quản lý phức tạp. DPI rất hiệu quả nhưng rất đắt. BGP-level interventions chặn hoàn toàn nhưng ảnh hưởng đến toàn bộ cơ sở hạ tầng. Không có cách hoàn hảo. Những người thiết kế những hệ thống này phải chọn: chi phí, hiệu quả, hay dấu vết.
Bước tiếp theo: tìm hiểu về những công nghệ giúp mọi người vượt qua những chướng ngại này — VPN, Tor, proxy — và tại sao chúng hoạt động khác nhau chống lại mỗi phương pháp chặn.
Khi bạn truy cập một website, máy tính của bạn thực hiện một loạt các bước: nó tìm địa chỉ IP của trang web (giống như tìm kiếm số điện thoại), kết nối tới máy chủ đó, và yêu cầu dữ liệu. Mỗi bước này có thể bị gián đoạn. Cách chặn nào được sử dụng phụ thuộc vào chi phí mà người kiểm duyệt sẵn sàng chấp nhận, mức độ phức tạp họ muốn duy trì, và có bao nhiêu người biết điều đó đang xảy ra.
Lọc DNS: Chặn "danh bạ điện thoại" internet
DNS là hệ thống chuyển đổi tên website (như example.com) thành địa chỉ IP thực sự mà máy tính có thể kết nối tới. Nếu bạn tưởng tượng DNS như danh bạ điện thoại chung, lọc DNS giống như trang bị cho danh bạ đó những trang bị xoá.
Khi bạn gõ "example.com" vào trình duyệt, máy tính gửi truy vấn tới một máy chủ DNS. Nếu máy chủ đó được kiểm soát bởi nhà cung cấp dịch vụ internet (ISP) hoặc chính phủ, nó có thể trả lời "tôi không biết địa chỉ đó" hoặc trả lại một địa chỉ IP giả. Máy tính của bạn không bao giờ tìm thấy website thực sự.
Ủu điểm của lọc DNS: nó rẻ, dễ thiết lập, và không yêu cầu quá nhiều công suất máy tính. Nhược điểm: rất dễ vượt qua. Nếu bạn sử dụng một máy chủ DNS khác (được điều hành bởi một công ty không kiểm duyệt), bạn có thể nhận được câu trả lời đúng. Hàng chục máy chủ DNS công cộng tồn tại và thường hoàn toàn miễn phí sử dụng. Đó là lý do tại sao lọc DNS thường được sử dụng ở những nơi người dùng không kỳ vọng sẽ cố gắng vượt qua nó hoặc không biết cách làm.
Chặn IP: Từ chối kết nối tới một địa chỉ
Mỗi máy chủ trên internet có một "địa chỉ nhà" — một địa chỉ IP, giống như một địa chỉ bưu điện. Chặn IP là cách đơn giản nhất: ISP hoặc chính phủ yêu cầu tất cả các máy tính trong mạng của họ từ chối kết nối tới những địa chỉ IP nhất định.
Điều này xảy ra ở cấp "bộ định tuyến" — các thiết bị vật lý điều khiển luồng dữ liệu qua mạng. Khi một gói dữ liệu cố gắng đi tới một địa chỉ IP bị cấm, nó bị thả xuống.
Ủu điểm: khó vượt qua hơn lọc DNS, vì nó hoạt động ở mức độ thấp hơn. Nhược điểm: nó thường yêu cầu bộ phận kỹ thuật chuyên dụng để quản lý, và bạn có thể chặn một toàn bộ máy chủ nếu nhiều website chia sẻ cùng một địa chỉ IP. Ngoài ra, nếu website di chuyển tới một máy chủ khác với địa chỉ IP mới, danh sách chặn phải được cập nhật thủ công.
Kiểm tra SNI và DPI: Đọc phần đầu của thư bạn
SNI (Server Name Indication) là một phần của cách bạn kết nối với một website an toàn (HTTPS). Nó cho phép bạn nói với máy chủ "tôi muốn nói chuyện với example.com" trước khi cả hai bạn mã hoá cuộc trò chuyện của mình. Vấn đề: có người đứng giữa — ISP hoặc chính phủ — có thể nhìn thấy tên website đó trong thông báo này, ngay cả khi họ không thể đọc nội dung của trang web.
DPI (Deep Packet Inspection) là công nghệ mạnh mẽ hơn. Thay vì chỉ nhìn "địa chỉ" của một gói dữ liệu (như chúng tôi làm với IP hoặc SNI), DPI xem xét nội dung thực tế của gói đó. Hãy tưởng tượng nó như mở mọi thư bưu điện, đọc nội dung, và từ chối gửi những cái có chứa những từ khóa bị cấm.
Ủu điểm: rất hiệu quả chống lại những người cố gắng ẩn những gì họ đang làm. Nhược điểm: rất đắt. DPI yêu cầu máy tính mạnh mẽ để quét mọi gói dữ liệu. Nó tạo ra sự chậm trễ. Và nó có thể bị vượt qua nếu dữ liệu được mã hoá hoặc che giấu bên trong một kết nối khác (đó là lý do tại sao mã hoá đầu cuối là một công cụ mạnh mẽ). Chỉ những quốc gia hoặc ISP có hạ tầng cơ bản rất tốt mới có thể sử dụng DPI trên toàn quốc.
Cắt điện ở cấp BGP: Xoá một phần của internet
BGP (Border Gateway Protocol) là hệ thống chỉ đạo dữ liệu qua internet toàn cầu. Chính phủ có thể sử dụng nó để nói với phần còn lại của internet "đừng gửi dữ liệu tới các địa chỉ IP này, chúng không tồn tại ở đây". Kết quả: website trở nên vô hình đối với hầu hết cả thế giới.
Ủu điểm: có thể chặn một website toàn bộ, ngay cả từ bên ngoài đất nước. Nhược điểm: nó ảnh hưởng đến toàn bộ các khu vực của internet, và cơ sở hạ tầng quốc tế thường phát hiện và báo cáo nó. Các quốc gia hiếm khi sử dụng nó trừ khi trong tình trạng khủng hoảng hoặc cần che giấu hoàn toàn một website.
Throttling: Làm cho kết nối chậm
Thay vì chặn hoàn toàn, một số ISP hoặc chính phủ đơn giản làm cho việc truy cập một website rất chậm mà nó trở nên vô dụng. Điều này được gọi là throttling. Nó khó phát hiện hơn chặn hoàn toàn và dễ phủ nhận.
Cắt toàn bộ kết nối
Cách chặn "cuối cùng" là cắt một phần hoặc toàn bộ internet. Myanmar làm điều này vào năm 2021. Các quốc gia khác đã cắt dịch vụ di động hoặc một số ISP cụ thể. Điều này rất hiệu quả nhưng có chi phí kinh tế và chính trị rất cao.
Mẹo chính: mỗi phương pháp chặn là một sự đánh đổi. DNS filtering rẻ nhưng dễ vượt qua. IP blocking khó hơn nhưng quản lý phức tạp. DPI rất hiệu quả nhưng rất đắt. BGP-level interventions chặn hoàn toàn nhưng ảnh hưởng đến toàn bộ cơ sở hạ tầng. Không có cách hoàn hảo. Những người thiết kế những hệ thống này phải chọn: chi phí, hiệu quả, hay dấu vết.
Bước tiếp theo: tìm hiểu về những công nghệ giúp mọi người vượt qua những chướng ngại này — VPN, Tor, proxy — và tại sao chúng hoạt động khác nhau chống lại mỗi phương pháp chặn.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ LỰA CHỌN BIÊN TẬP
★★★★★ 9.5/10 · 6,000+ servers · Hoạt động ở Trung Quốc
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.