Home » DNS Security: DNSSEC, DoH และ DoT ป้องกัน DNS Attack
ไม่มีหมวดหมู่

DNS Security: DNSSEC, DoH และ DoT ป้องกัน DNS Attack

bom
March 9, 2026
2 Views
DNS Security: DNSSEC, DoH และ DoT ป้องกัน DNS Attack

DNS Security: DNSSEC, DoH และ DoT ป้องกัน DNS Attack

DNS Security เป็นหัวข้อที่สำคัญมากขึ้นเรื่อยๆ เพราะ DNS เป็นจุดอ่อนหลักของ internet ที่ attacker ใช้โจมตี DNS ดั้งเดิมส่ง queries/responses แบบ plaintext ไม่มี authentication ทำให้ถูก spoofing, cache poisoning และ eavesdropping ได้ง่าย DNSSEC, DoH และ DoT เป็น 3 เทคโนโลยีหลักที่แก้ปัญหาเหล่านี้

DNS attacks เป็นภัยคุกคามที่ พบบ่อยและอันตราย เช่น DNS spoofing ที่เปลี่ยน DNS response ให้ชี้ไปเว็บปลอม (phishing), DNS tunneling ที่ใช้ DNS เป็นช่องทางขโมยข้อมูล และ DNS hijacking ที่เปลี่ยน DNS settings เพื่อ redirect traffic บทความนี้จะอธิบายเทคโนโลยี DNS security แต่ละตัว

DNS Attacks

Attack วิธีการ ผลกระทบ
DNS Spoofing/Cache Poisoning ส่ง fake DNS response ก่อน real response Users ถูก redirect ไปเว็บปลอม
DNS Hijacking เปลี่ยน DNS settings (router/ISP level) ทุก DNS query ถูก redirect
DNS Tunneling Encode data ใน DNS queries/responses Data exfiltration, C2 communication
DNS Amplification DDoS ส่ง DNS query ด้วย spoofed source IP DDoS เป้าหมายด้วย amplified DNS responses
NXDOMAIN Attack ส่ง queries จำนวนมากสำหรับ domains ที่ไม่มีจริง DNS server overload
Man-in-the-Middle ดักจับ DNS queries (plaintext) รู้ว่า user เข้าเว็บอะไร + แก้ไข response ได้

DNSSEC vs DoH vs DoT

คุณสมบัติ DNSSEC DoH (DNS over HTTPS) DoT (DNS over TLS)
ป้องกันอะไร Data integrity (ป้องกัน spoofing) Privacy (เข้ารหัส queries) Privacy (เข้ารหัส queries)
Encryption ไม่เข้ารหัส (แค่ sign) HTTPS (TLS 1.3) TLS 1.2/1.3
Authentication Digital signatures (RSA/ECDSA) ไม่มี (trust resolver) ไม่มี (trust resolver)
Port UDP/TCP 53 (เหมือน DNS ปกติ) TCP 443 (เหมือน HTTPS) TCP 853 (dedicated port)
Visibility ดู queries ได้ (plaintext) ซ่อนใน HTTPS traffic (ยาก block) เห็นว่าเป็น DNS แต่ดู content ไม่ได้
Implementation DNS server + domain owner Client (browser/OS) + resolver Client (OS) + resolver

DNSSEC

DNS Security Extensions

Component บทบาท
RRSIG (Resource Record Signature) Digital signature ของ DNS record
DNSKEY Public key สำหรับ verify signatures
DS (Delegation Signer) Hash ของ child zone’s DNSKEY (chain of trust)
NSEC/NSEC3 Prove ว่า domain ไม่มีอยู่จริง (authenticated denial)
KSK (Key Signing Key) Key สำหรับ sign DNSKEY records
ZSK (Zone Signing Key) Key สำหรับ sign zone records

DNSSEC Chain of Trust

Level Trust Anchor Signs
Root Zone (.) Root KSK (ICANN managed) Root DNSKEY + DS records for TLDs
TLD (.com, .th) TLD KSK TLD DNSKEY + DS records for domains
Domain (example.com) Domain KSK Domain DNSKEY + all zone records

DoH (DNS over HTTPS)

Feature รายละเอียด
Protocol DNS queries ผ่าน HTTPS (port 443)
RFC RFC 8484
Privacy ISP/network admin ดู DNS queries ไม่ได้
Censorship ยาก block เพราะใช้ port 443 เหมือน HTTPS ปกติ
Providers Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9 (9.9.9.9)
Browser Support Chrome, Firefox, Edge, Safari (built-in)
ข้อเสีย Network admin ดู/filter DNS ไม่ได้ (bypass enterprise DNS)

DoT (DNS over TLS)

Feature รายละเอียด
Protocol DNS queries ผ่าน TLS (port 853)
RFC RFC 7858
Privacy เข้ารหัส DNS queries (เหมือน DoH)
Visibility Network admin เห็นว่าเป็น DNS traffic (port 853) แต่ดู content ไม่ได้
Providers Cloudflare, Google, Quad9 (same as DoH)
OS Support Android 9+, iOS 14+, Linux (systemd-resolved)
ข้อดีเหนือ DoH Enterprise ยัง block/redirect ได้ (dedicated port)

DoH vs DoT: เลือกอะไรดี

สถานการณ์ แนะนำ เหตุผล
ผู้ใช้ทั่วไป (privacy) DoH Built-in ใน browsers, ยาก block
Enterprise network DoT ยัง manage/monitor DNS ได้ (dedicated port)
Censored network DoH ซ่อนใน HTTPS traffic, ยาก detect
Mobile devices DoT Android Private DNS (built-in DoT)
Both privacy + integrity DoH/DoT + DNSSEC DoH/DoT เข้ารหัส + DNSSEC verify integrity

DNS Security for Enterprise

Layer Solution
1. DNSSEC Validation Enable DNSSEC validation บน recursive resolver
2. DNS Filtering ใช้ DNS firewall/RPZ (Response Policy Zone) block malicious domains
3. Encrypted DNS DoT ระหว่าง clients กับ internal resolver
4. DNS Logging Log ทุก DNS query สำหรับ security monitoring
5. DNS Sinkhole Redirect malicious domains ไป sinkhole IP
6. Rate Limiting จำกัด DNS queries per client (ป้องกัน tunneling/DDoS)

DNS Security Providers

Provider IP DoH DoT DNSSEC Filtering
Cloudflare 1.1.1.1 1.1.1.2 (malware), 1.1.1.3 (family)
Google 8.8.8.8
Quad9 9.9.9.9 ✓ (malware blocking)
OpenDNS 208.67.222.222 ✓ (customizable)

ทิ้งท้าย: DNS Security = ป้องกัน 3 ชั้น

DNSSEC = integrity (ป้องกัน spoofing/poisoning) DoH/DoT = privacy (เข้ารหัส DNS queries) DNS Filtering = protection (block malicious domains) ใช้ทั้ง 3 ร่วมกันเพื่อ comprehensive DNS security Enterprise: DNSSEC validation + DoT + DNS logging + filtering

อ่านเพิ่มเติมเกี่ยวกับ Network Access Control NAC และ Network Forensics ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com

บทความที่เกี่ยวข้อง

iCafeForex.com — EA Forex และเครื่องมือเทรด · SiamCafe.net — ชุมชน IT ที่ใหญ่ที่สุด

Related Articles
จัดส่งรวดเร็วส่งด่วนทั่วประเทศ
รับประกันสินค้าเคลมง่าย มีใบรับประกัน
ผ่อนชำระได้บัตรเครดิต 0% สูงสุด 10 เดือน
สะสมแต้ม รับส่วนลดส่วนลดและคะแนนสะสม

ติดต่อเรา | LINE: @siamlancard

Facebook | YouTube | LINE OA

เว็บในเครือ: SiamCafe.net | iCafeForex.com | Siam2R.com | XMSignal.com

© 2026 SiamLancard — จำหน่ายการ์ดแลน อุปกรณ์ Server และเครื่องพิมพ์ใบเสร็จ

SiamLancard
Logo
Free Forex EA Download — XM Signal · EA Forex ฟรี
iCafeForex.com - สอนเทรด Forex | SiamCafe.net
Shopping cart