Home » DNS Security: DNSSEC, DoH, DoT, DNS Sinkhole, RPZ และ DNS Threat Protection
ไม่มีหมวดหมู่

DNS Security: DNSSEC, DoH, DoT, DNS Sinkhole, RPZ และ DNS Threat Protection

bom
March 9, 2026
2 Views
DNS Security: DNSSEC, DoH, DoT, DNS Sinkhole, RPZ และ DNS Threat Protection

DNS Security: DNSSEC, DoH, DoT, DNS Sinkhole, RPZ และ DNS Threat Protection

DNS Security ปกป้อง Domain Name System ซึ่งเป็น infrastructure สำคัญที่สุดของ Internet DNSSEC ป้องกัน DNS spoofing ด้วย digital signatures, DoH (DNS over HTTPS) encrypt DNS queries ผ่าน HTTPS, DoT (DNS over TLS) encrypt DNS queries ผ่าน TLS, DNS Sinkhole redirect malicious domains ไปยัง safe IP, RPZ (Response Policy Zones) ให้ policy-based DNS filtering และ DNS Threat Protection รวมทุกอย่างเป็น comprehensive DNS defense

DNS เป็น attack vector ที่ถูกใช้มากที่สุด: 91% ของ malware ใช้ DNS สำหรับ C2 communication, phishing ใช้ DNS เพื่อ resolve malicious domains, data exfiltration ซ่อนข้อมูลใน DNS queries, DNS cache poisoning redirect users ไปยัง fake sites แต่หลายองค์กรยัง monitor DNS น้อยมาก ทำให้ DNS เป็น blind spot ด้าน security

DNS Threats

Threat How Impact
DNS Spoofing/Cache Poisoning Inject fake DNS records → redirect users ไป malicious site Phishing, credential theft, malware download
DNS Tunneling Encode data ใน DNS queries/responses → exfiltrate data ผ่าน DNS Data theft ที่ bypass firewall (DNS usually allowed)
DGA (Domain Generation Algorithm) Malware generate random domains สำหรับ C2 → hard to block Botnet communication, ransomware C2
DNS Hijacking Compromise DNS server/registrar → change DNS records Redirect entire domain traffic to attacker
DNS Amplification DDoS Spoof source IP + query open resolvers → amplified response floods victim DDoS attack using DNS as amplifier
Typosquatting Register domains คล้ายของจริง (g00gle.com) → phishing Credential theft, malware distribution

DNSSEC

Feature รายละเอียด
คืออะไร DNS Security Extensions — เพิ่ม digital signatures ให้ DNS records
Purpose ป้องกัน DNS spoofing/cache poisoning (verify ว่า DNS response มาจาก authoritative source)
How Zone owner sign records ด้วย private key → resolver verify ด้วย public key (chain of trust)
RRSIG Record ที่เก็บ digital signature ของ DNS record set
DNSKEY Public key ที่ใช้ verify RRSIG
DS Delegation Signer — hash ของ child zone’s DNSKEY (chain of trust ขึ้น root)
NSEC/NSEC3 Prove ว่า domain ไม่ exist (authenticated denial of existence)
Chain of Trust Root → TLD → domain → subdomain (ทุก level signed + verified)
Limitation ไม่ encrypt DNS traffic (แค่ authenticate) → ยังต้อง DoH/DoT สำหรับ privacy

DoH (DNS over HTTPS)

Feature รายละเอียด
คืออะไร Encrypt DNS queries ผ่าน HTTPS (port 443) → ดูเหมือน normal HTTPS traffic
Privacy ISP/network admin ไม่เห็น DNS queries (encrypted เหมือน web traffic)
Port 443 (same as HTTPS → hard to block without breaking web)
Providers Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9 (9.9.9.9)
Browser Support Chrome, Firefox, Edge, Safari (built-in DoH support)
Enterprise Concern Bypass corporate DNS filtering → security teams ไม่เห็น DNS queries
Solution Block external DoH providers + use internal DoH server

DoT (DNS over TLS)

Feature รายละเอียด
คืออะไร Encrypt DNS queries ผ่าน TLS (port 853) → dedicated encrypted DNS
Privacy DNS queries encrypted (ISP ไม่เห็น domains ที่ query)
Port 853 (dedicated port → easy to identify and manage)
vs DoH DoT ง่าย block/manage (port 853) | DoH ซ่อนใน HTTPS (port 443)
Enterprise DoT preferred สำหรับ enterprise (เพราะ manage ง่ายกว่า DoH)

DNS Sinkhole

Feature รายละเอียด
คืออะไร DNS server ที่ return fake IP สำหรับ malicious domains (redirect ไป safe IP)
How Query malicious domain → sinkhole returns 0.0.0.0 หรือ sinkhole IP → connection fails
Purpose Block malware C2, phishing, ad tracking ที่ DNS level
Identification Devices ที่ query sinkheld domains = potentially infected (identify compromised hosts)
Implementation Pi-hole (home), Infoblox (enterprise), Palo Alto DNS Security, Cisco Umbrella

RPZ (Response Policy Zones)

Feature รายละเอียด
คืออะไร DNS firewall — policy zones ที่ override DNS responses ตาม rules
Actions NXDOMAIN (block), NODATA, redirect to sinkhole, passthru (allow), drop
Triggers Query name, response IP, nameserver name, nameserver IP
Feeds Threat intelligence feeds provide RPZ data (updated continuously)
BIND Support Native RPZ support ใน BIND (most popular DNS server)
Use Case Block malware domains, phishing, adult content, ad tracking ที่ DNS level

DNS Security Solutions

Solution Type จุดเด่น
Cisco Umbrella Cloud DNS Security Cloud-delivered, global threat intelligence, Talos feeds
Infoblox BloxOne Threat Defense On-prem + Cloud DNS/DHCP/IPAM + threat defense, RPZ, DNS tunneling detection
Palo Alto DNS Security NGFW add-on ML-based DGA detection, DNS tunneling, integrated with NGFW
Cloudflare Gateway Cloud DNS Security 1.1.1.1 for Families/Teams, DNS filtering, fast global network
Pi-hole Self-hosted Open source, ad blocking + malware blocking, easy setup

DNS Security Best Practices

Practice รายละเอียด
Enable DNSSEC Sign zones + validate responses (ป้องกัน spoofing/cache poisoning)
Encrypt DNS DoT/DoH สำหรับ client → resolver (privacy + prevent eavesdropping)
DNS Sinkhole Sinkhole malicious domains → identify infected devices
RPZ Feeds Subscribe threat intelligence RPZ feeds → block known-bad domains
Monitor DNS Log + analyze DNS queries (detect tunneling, DGA, anomalies)
Restrict Resolvers Block external DNS (port 53/853) → force all queries ผ่าน corporate DNS
Block DoH Bypass Block known DoH providers + force internal DNS → maintain visibility

ทิ้งท้าย: DNS Security = Protect the Phone Book of the Internet

DNS Security Threats: spoofing, tunneling, DGA, hijacking, amplification DDoS, typosquatting DNSSEC: digital signatures → authenticate DNS responses (prevent spoofing, chain of trust) DoH: encrypted DNS over HTTPS port 443 (privacy but bypasses corporate filtering) DoT: encrypted DNS over TLS port 853 (privacy, easier to manage than DoH) Sinkhole: return fake IP for malicious domains → block + identify infected devices RPZ: DNS firewall with policy zones (NXDOMAIN, redirect, passthru) per threat feeds Best Practice: DNSSEC + DoT/DoH + sinkhole + RPZ feeds + monitor queries + restrict external DNS

อ่านเพิ่มเติมเกี่ยวกับ PKI Certificates X.509 SSL TLS และ Firewall Next-Gen NGFW IPS ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com

บทความที่เกี่ยวข้อง

Siam2R.com — Portfolio งาน IT · XM Signal — Free Forex EA Download

Related Articles
จัดส่งรวดเร็วส่งด่วนทั่วประเทศ
รับประกันสินค้าเคลมง่าย มีใบรับประกัน
ผ่อนชำระได้บัตรเครดิต 0% สูงสุด 10 เดือน
สะสมแต้ม รับส่วนลดส่วนลดและคะแนนสะสม

ติดต่อเรา | LINE: @siamlancard

Facebook | YouTube | LINE OA

เว็บในเครือ: SiamCafe.net | iCafeForex.com | Siam2R.com | XMSignal.com

© 2026 SiamLancard — จำหน่ายการ์ดแลน อุปกรณ์ Server และเครื่องพิมพ์ใบเสร็จ

SiamLancard
Logo
Free Forex EA Download — XM Signal · EA Forex ฟรี
iCafeForex.com - สอนเทรด Forex | SiamCafe.net
Shopping cart