DNS hoạt động như thế nào: từ tên miền đến địa chỉ IP
Last updated: tháng 4 9, 2026
Hiểu DNS - danh bạ điện thoại của internet. Cách truy vấn DNS, tại sao nó không được mã hóa, và DNS filtering dùng để kiểm duyệt.
Mỗi khi bạn gõ một tên miền vào trình duyệt — chẳng hạn như example.com — máy tính của bạn phải tìm ra địa chỉ thật của máy chủ đó. Nhưng máy tính không hiểu "example.com". Nó chỉ hiểu các số gọi là địa chỉ IP, như 93.184.216.34. Một hệ thống phải chuyển đổi tên thành số. Hệ thống đó gọi là DNS — Domain Name System — và nó là một phần không nhìn thấy nhưng quan trọng của cách internet hoạt động.
Vấn đề là: những gì bạn tra cứu không phải là bí mật. Trừ khi bạn thực hiện một bước thêm, ISP (nhà cung cấp internet) của bạn có thể nhìn thấy mọi tên miền bạn cố gắng truy cập. DNS filtering — một công cụ kiểm duyệt rẻ tiền và hiệu quả — dựa trên sự kiểm soát của nó. Để hiểu internet, bạn cần hiểu DNS.
DNS là danh bạ điện thoại của internet
Hãy tưởng tượng bạn muốn gọi cho một người bạn, nhưng bạn chỉ biết tên của họ chứ không biết số điện thoại. Bạn gọi cho dịch vụ tra cứu danh bạ. Họ tìm tên trong sách của họ và nói cho bạn biết số. Sau đó bạn gọi cho bạn của bạn.
DNS hoạt động giống như vậy. Khi bạn nhập "wikipedia.org" vào trình duyệt, máy tính cần tìm địa chỉ IP thực sự của wikipedia.org. Nó gửi yêu cầu: "Hãy cho tôi biết số cho wikipedia.org". Một máy chủ DNS nhận yêu cầu, tra cứu trong cơ sở dữ liệu của nó, và gửi lại địa chỉ IP. Trình duyệt của bạn sau đó kết nối trực tiếp với máy chủ đó.
Nhưng quá trình thực tế phức tạp hơn một chút. DNS không phải là một cuộc gọi điện thoại đơn lẻ. Nó là một chuỗi các cuộc gọi.
Hành trình của một truy vấn DNS
Khi bạn nhập một tên miền, máy tính của bạn thực hiện một "truy vấn DNS đệ quy". Nó bắt đầu với một thứ gọi là stub resolver — một công cụ nhỏ trên máy tính của bạn hoặc do ISP cung cấp — và đi qua một loạt các máy chủ cho đến khi tìm được câu trả lời.
Bước một: stub resolver trên máy tính của bạn gửi yêu cầu đến một recursor — một máy chủ DNS có quyền hạn lớn hơn, thường do ISP của bạn vận hành. Recursor không biết câu trả lời, nhưng nó biết cách tìm câu trả lời.
Bước hai: recursor gửi yêu cầu đến một máy chủ root — một trong số một nhóm máy chủ siêu quan trọng trên toàn thế giới. Máy chủ root không biết địa chỉ IP của wikipedia.org, nhưng nó biết máy chủ nào chịu trách nhiệm cho miền ".org".
Bước ba: recursor hỏi máy chủ TLD (Top-Level Domain) cho ".org". Máy chủ TLD biết rằng wikipedia.org được quản lý bởi các máy chủ của Wikimedia Foundation.
Bước bốn: recursor hỏi các máy chủ có thẩm quyền cho wikipedia.org. Đây là máy chủ DNS thực sự lưu trữ bản ghi cho wikipedia.org, và nó trả lời: "Địa chỉ IP của wikipedia.org là X.X.X.X".
Bước năm: recursor gửi câu trả lời trở lại máy tính của bạn. Máy tính của bạn giờ đã biết số điện thoại — địa chỉ IP — và kết nối với nó.
Hệ thống này được thiết kế để nhanh chóng bằng cách sử dụng bộ nhớ đệm. Nếu bạn yêu cầu cùng một tên miền lần thứ hai, máy tính của bạn nhớ câu trả lời từ lần đầu tiên và không cần hỏi lại. Các recursor cũng lưu trữ câu trả lời phổ biến để tránh lặp lại công việc.
DNS không được mã hóa theo mặc định
Đây là nơi mọi thứ trở nên nhạy cảm. Trừ khi bạn thực hiện bước bổ sung, tất cả những gì bạn tra cứu DNS — mọi tên miền — được gửi trong văn bản rõ ràng. ISP của bạn, chủ sở hữu wifi công cộng của bạn, hoặc bất kỳ ai giám sát mạng của bạn đều có thể thấy yêu cầu này.
Hãy nghĩ về nó như gửi một tấm thiep qua bưu điện. Tất cả mọi người xử lý nó có thể đọc địa chỉ trên mặt trước.
Đó không phải là sự xâm phạm an ninh ứng dụng — nó là thiết kế mặc định của DNS từ những năm 1980. Thời điểm đó, bảo mật không phải là ưu tiên hàng đầu của internet. Mọi thứ được thiết kế với sự tin tưởng rằng mạng là an toàn. Hiển nhiên, nó không phải lúc nào cũng như vậy.
DoH và DoT: mã hóa DNS
Người ta đã phát triển hai cách để mã hóa truy vấn DNS: DoH (DNS over HTTPS) và DoT (DNS over TLS). DoH gửi truy vấn DNS thông qua cùng một kênh bảo mật mà bạn sử dụng để truyền thông với các trang web. DoT sử dụng một kênh bảo mật riêng biệt.
Cả hai đều có tradeoff. Với DoH hoặc DoT, ISP của bạn không thể thấy những gì bạn tra cứu. Nhưng recursor DNS của bạn — công ty hoặc tổ chức vận hành nó — vẫn có thể.
DNS filtering: công cụ kiểm duyệt rẻ tiền
Vì DNS đơn giản, dễ kiểm soát, và là chặng dừng bắt buộc cho hầu hết các lưu lượng internet, nó là điểm chặn lý tưởng để lọc nội dung. Thay vì cố gắng chặn máy chủ (khó khăn và tốn kém), một chính phủ hoặc ISP có thể chỉ cần nói với recursor DNS của mình: "Nếu ai đó hỏi về tên miền X, đừng trả lời. Trả về thông báo lỗi".
Đây là lý do tại sao DNS filtering là công cụ kiểm duyệt phổ biến nhất trên thế giới. Nó rẻ. Nó hiệu quả. Và nó không cần kiểu công nghệ phức tạp.
Diều quan trọng cần hiểu
DNS là một hệ thống phân tán, thông minh được thiết kế để biến tên thành địa chỉ. Nó hoạt động thông qua một chuỗi truy vấn từ máy tính của bạn thông qua nhiều máy chủ cho đến khi tìm được câu trả lời. Nhưng theo mặc định, nó không bảo vệ quyền riêng tư của bạn — những gì bạn tra cứu có thể được nhìn thấy. Và vì vậy, nó là một trong những cách dễ nhất để kiểm duyệt internet.
Bây giờ bạn hiểu DNS, bạn sẽ muốn tìm hiểu về các kỹ thuật kiểm duyệt khác — IP blocking, DPI (Deep Packet Inspection) — và cách các công cụ khác như VPN hoạt động ở các lớp khác nhau của mạng.
Vấn đề là: những gì bạn tra cứu không phải là bí mật. Trừ khi bạn thực hiện một bước thêm, ISP (nhà cung cấp internet) của bạn có thể nhìn thấy mọi tên miền bạn cố gắng truy cập. DNS filtering — một công cụ kiểm duyệt rẻ tiền và hiệu quả — dựa trên sự kiểm soát của nó. Để hiểu internet, bạn cần hiểu DNS.
DNS là danh bạ điện thoại của internet
Hãy tưởng tượng bạn muốn gọi cho một người bạn, nhưng bạn chỉ biết tên của họ chứ không biết số điện thoại. Bạn gọi cho dịch vụ tra cứu danh bạ. Họ tìm tên trong sách của họ và nói cho bạn biết số. Sau đó bạn gọi cho bạn của bạn.
DNS hoạt động giống như vậy. Khi bạn nhập "wikipedia.org" vào trình duyệt, máy tính cần tìm địa chỉ IP thực sự của wikipedia.org. Nó gửi yêu cầu: "Hãy cho tôi biết số cho wikipedia.org". Một máy chủ DNS nhận yêu cầu, tra cứu trong cơ sở dữ liệu của nó, và gửi lại địa chỉ IP. Trình duyệt của bạn sau đó kết nối trực tiếp với máy chủ đó.
Nhưng quá trình thực tế phức tạp hơn một chút. DNS không phải là một cuộc gọi điện thoại đơn lẻ. Nó là một chuỗi các cuộc gọi.
Hành trình của một truy vấn DNS
Khi bạn nhập một tên miền, máy tính của bạn thực hiện một "truy vấn DNS đệ quy". Nó bắt đầu với một thứ gọi là stub resolver — một công cụ nhỏ trên máy tính của bạn hoặc do ISP cung cấp — và đi qua một loạt các máy chủ cho đến khi tìm được câu trả lời.
Bước một: stub resolver trên máy tính của bạn gửi yêu cầu đến một recursor — một máy chủ DNS có quyền hạn lớn hơn, thường do ISP của bạn vận hành. Recursor không biết câu trả lời, nhưng nó biết cách tìm câu trả lời.
Bước hai: recursor gửi yêu cầu đến một máy chủ root — một trong số một nhóm máy chủ siêu quan trọng trên toàn thế giới. Máy chủ root không biết địa chỉ IP của wikipedia.org, nhưng nó biết máy chủ nào chịu trách nhiệm cho miền ".org".
Bước ba: recursor hỏi máy chủ TLD (Top-Level Domain) cho ".org". Máy chủ TLD biết rằng wikipedia.org được quản lý bởi các máy chủ của Wikimedia Foundation.
Bước bốn: recursor hỏi các máy chủ có thẩm quyền cho wikipedia.org. Đây là máy chủ DNS thực sự lưu trữ bản ghi cho wikipedia.org, và nó trả lời: "Địa chỉ IP của wikipedia.org là X.X.X.X".
Bước năm: recursor gửi câu trả lời trở lại máy tính của bạn. Máy tính của bạn giờ đã biết số điện thoại — địa chỉ IP — và kết nối với nó.
Hệ thống này được thiết kế để nhanh chóng bằng cách sử dụng bộ nhớ đệm. Nếu bạn yêu cầu cùng một tên miền lần thứ hai, máy tính của bạn nhớ câu trả lời từ lần đầu tiên và không cần hỏi lại. Các recursor cũng lưu trữ câu trả lời phổ biến để tránh lặp lại công việc.
DNS không được mã hóa theo mặc định
Đây là nơi mọi thứ trở nên nhạy cảm. Trừ khi bạn thực hiện bước bổ sung, tất cả những gì bạn tra cứu DNS — mọi tên miền — được gửi trong văn bản rõ ràng. ISP của bạn, chủ sở hữu wifi công cộng của bạn, hoặc bất kỳ ai giám sát mạng của bạn đều có thể thấy yêu cầu này.
Hãy nghĩ về nó như gửi một tấm thiep qua bưu điện. Tất cả mọi người xử lý nó có thể đọc địa chỉ trên mặt trước.
Đó không phải là sự xâm phạm an ninh ứng dụng — nó là thiết kế mặc định của DNS từ những năm 1980. Thời điểm đó, bảo mật không phải là ưu tiên hàng đầu của internet. Mọi thứ được thiết kế với sự tin tưởng rằng mạng là an toàn. Hiển nhiên, nó không phải lúc nào cũng như vậy.
DoH và DoT: mã hóa DNS
Người ta đã phát triển hai cách để mã hóa truy vấn DNS: DoH (DNS over HTTPS) và DoT (DNS over TLS). DoH gửi truy vấn DNS thông qua cùng một kênh bảo mật mà bạn sử dụng để truyền thông với các trang web. DoT sử dụng một kênh bảo mật riêng biệt.
Cả hai đều có tradeoff. Với DoH hoặc DoT, ISP của bạn không thể thấy những gì bạn tra cứu. Nhưng recursor DNS của bạn — công ty hoặc tổ chức vận hành nó — vẫn có thể.
DNS filtering: công cụ kiểm duyệt rẻ tiền
Vì DNS đơn giản, dễ kiểm soát, và là chặng dừng bắt buộc cho hầu hết các lưu lượng internet, nó là điểm chặn lý tưởng để lọc nội dung. Thay vì cố gắng chặn máy chủ (khó khăn và tốn kém), một chính phủ hoặc ISP có thể chỉ cần nói với recursor DNS của mình: "Nếu ai đó hỏi về tên miền X, đừng trả lời. Trả về thông báo lỗi".
Đây là lý do tại sao DNS filtering là công cụ kiểm duyệt phổ biến nhất trên thế giới. Nó rẻ. Nó hiệu quả. Và nó không cần kiểu công nghệ phức tạp.
Diều quan trọng cần hiểu
DNS là một hệ thống phân tán, thông minh được thiết kế để biến tên thành địa chỉ. Nó hoạt động thông qua một chuỗi truy vấn từ máy tính của bạn thông qua nhiều máy chủ cho đến khi tìm được câu trả lời. Nhưng theo mặc định, nó không bảo vệ quyền riêng tư của bạn — những gì bạn tra cứu có thể được nhìn thấy. Và vì vậy, nó là một trong những cách dễ nhất để kiểm duyệt internet.
Bây giờ bạn hiểu DNS, bạn sẽ muốn tìm hiểu về các kỹ thuật kiểm duyệt khác — IP blocking, DPI (Deep Packet Inspection) — và cách các công cụ khác như VPN hoạt động ở các lớp khác nhau của mạng.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ LỰA CHỌN BIÊN TẬP
★★★★★ 9.5/10 · 6,000+ servers · Hoạt động ở Trung Quốc
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.