Home » DNS Security: DNSSEC, DoH, DoT และ Protective DNS
ไม่มีหมวดหมู่

DNS Security: DNSSEC, DoH, DoT และ Protective DNS

bom
March 9, 2026
2 Views
DNS Security: DNSSEC, DoH, DoT และ Protective DNS

DNS Security: DNSSEC, DoH, DoT และ Protective DNS

DNS Security เป็นสิ่งจำเป็นเพราะ DNS เป็น protocol พื้นฐานที่ทุก internet activity ต้องใช้ แต่ออกแบบมาโดยไม่มี security built-in DNSSEC ป้องกัน DNS spoofing/cache poisoning ด้วย digital signatures, DoH (DNS over HTTPS) และ DoT (DNS over TLS) เข้ารหัส DNS queries เพื่อป้องกัน eavesdropping และ Protective DNS ใช้ DNS เป็น security layer สำหรับ block malicious domains

DNS queries ปกติส่งเป็น plaintext (unencrypted) ทำให้ ISP, attacker หรือใครก็ตามที่อยู่ใน network path สามารถเห็นว่าเรากำลังเข้าเว็บอะไร (privacy concern) และสามารถ modify DNS responses ได้ (redirect ไปเว็บปลอม) DNS security แก้ทั้ง integrity (DNSSEC) และ confidentiality (DoH/DoT)

DNS Threats

Threat วิธีโจมตี ผลกระทบ
DNS Spoofing ปลอมแปลง DNS response → redirect ไป IP ปลอม Phishing, credential theft
Cache Poisoning Inject false records เข้า DNS resolver cache ผู้ใช้ทุกคนที่ใช้ resolver ถูก redirect
DNS Hijacking Compromise DNS server หรือ change DNS settings Control ทุก DNS resolution
DNS Tunneling Encode data ใน DNS queries/responses → exfiltrate data Data exfiltration, C2 communication
DNS Amplification DDoS Spoof source IP + send small query → large response ไปหา victim DDoS attack (amplification factor 28-54×)
Eavesdropping Capture plaintext DNS queries Privacy violation (see all sites visited)

DNSSEC

Feature รายละเอียด
คืออะไร DNS Security Extensions — เพิ่ม digital signatures ให้ DNS records
Protects Against DNS spoofing, cache poisoning (data integrity + authentication)
Does NOT Protect ไม่เข้ารหัส queries (ไม่แก้ privacy — ใช้ DoH/DoT สำหรับนั้น)
How It Works Zone owner signs records ด้วย private key → resolver validates ด้วย public key
RRSIG Signature record (signature ของ DNS record set)
DNSKEY Public key สำหรับ verify RRSIG
DS (Delegation Signer) Hash ของ child zone’s DNSKEY → stored ใน parent zone (chain of trust)
NSEC/NSEC3 Prove that a DNS name does NOT exist (authenticated denial)
Chain of Trust Root → TLD → domain → subdomain (each level signs the next)

DoH (DNS over HTTPS)

Feature รายละเอียด
Port 443 (same as HTTPS traffic)
Protocol DNS queries ส่งผ่าน HTTPS (HTTP/2 or HTTP/3)
Privacy Encrypted + blends with normal HTTPS traffic (hard to block/detect)
RFC RFC 8484
Providers Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9 (9.9.9.9)
Pros Privacy, hard to block, works through firewalls
Cons Bypasses corporate DNS policies, harder for network security teams to monitor

DoT (DNS over TLS)

Feature รายละเอียด
Port 853 (dedicated port)
Protocol DNS queries ส่งผ่าน TLS tunnel
Privacy Encrypted แต่ใช้ dedicated port → easy to identify/block
RFC RFC 7858
Pros Privacy, easy for network admins to manage (block/allow port 853)
Cons Easy to block (port 853), doesn’t blend with other traffic

DoH vs DoT

Feature DoH DoT
Port 443 (shared with HTTPS) 853 (dedicated)
Visibility Hard to detect/block Easy to detect/block
Enterprise Friendly No (bypasses DNS policies) Yes (controllable)
Performance Slightly slower (HTTP overhead) Slightly faster (direct TLS)
Browser Support Firefox, Chrome, Edge, Safari Limited browser support
OS Support Limited native Android 9+, iOS 14+, Windows 11

Protective DNS

Feature รายละเอียด
คืออะไร DNS resolver ที่ block malicious domains (malware, phishing, C2)
How It Works DNS query → check against threat intelligence → block or allow
Blocks Malware domains, phishing sites, C2 servers, newly registered domains
Response Return NXDOMAIN, redirect to block page, or sinkhole IP
Advantage Block threats at DNS level — before connection is established

Protective DNS Providers

Provider Service จุดเด่น
Cloudflare 1.1.1.2 (malware), 1.1.1.3 (malware+adult) Fast, free, privacy-focused
Quad9 9.9.9.9 Non-profit, threat intelligence from 19+ sources
Cisco Umbrella Enterprise Protective DNS Enterprise-grade, detailed reporting, API
Infoblox BloxOne Enterprise DNS Security On-prem + cloud, DDI integration
CISA Protective DNS US Government Free for US federal agencies
NextDNS Customizable DNS firewall Granular controls, privacy logs, affordable

DNS Security Best Practices

Practice รายละเอียด
Enable DNSSEC Sign zones + validate on resolvers (integrity protection)
Use DoT/DoH Encrypt DNS queries (privacy protection)
Deploy Protective DNS Block malicious domains at DNS layer
Monitor DNS logs Log all DNS queries → detect anomalies (tunneling, DGA)
Rate limit DNS Response Rate Limiting (RRL) ป้องกัน amplification DDoS
Restrict zone transfers Allow AXFR/IXFR เฉพาะ authorized secondary servers
Patch DNS servers Keep BIND, Unbound, Windows DNS updated

ทิ้งท้าย: DNS Security = Integrity + Privacy + Protection

DNS Security DNSSEC: digital signatures → prevent spoofing/cache poisoning (integrity) DoH: DNS over HTTPS (port 443) → encrypted + hard to block (privacy) DoT: DNS over TLS (port 853) → encrypted + easy to manage (enterprise) Protective DNS: block malicious domains at DNS layer (security) Best practice: DNSSEC + DoT/DoH + Protective DNS + monitoring

อ่านเพิ่มเติมเกี่ยวกับ Zero Trust Network Architecture และ Network Access Control NAC ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com

บทความที่เกี่ยวข้อง

iCafeForex.com — EA Forex และเครื่องมือเทรด · SiamCafe.net — ชุมชน IT ที่ใหญ่ที่สุด

Related Articles
จัดส่งรวดเร็วส่งด่วนทั่วประเทศ
รับประกันสินค้าเคลมง่าย มีใบรับประกัน
ผ่อนชำระได้บัตรเครดิต 0% สูงสุด 10 เดือน
สะสมแต้ม รับส่วนลดส่วนลดและคะแนนสะสม

ติดต่อเรา | LINE: @siamlancard

Facebook | YouTube | LINE OA

เว็บในเครือ: SiamCafe.net | iCafeForex.com | Siam2R.com | XMSignal.com

© 2026 SiamLancard — จำหน่ายการ์ดแลน อุปกรณ์ Server และเครื่องพิมพ์ใบเสร็จ

SiamLancard
Logo
Free Forex EA Download — XM Signal · EA Forex ฟรี
iCafeForex.com - สอนเทรด Forex | SiamCafe.net
Shopping cart