Cú lừa DNS: AdGuard Home và Pi-hole của các ông đang bị "xỏ mũi" như thế nào?

Tưởng tượng một ngày đẹp trời, ông hì hục setup con AdGuard Home hoặc Pi-hole, load full list chặn quảng cáo, tracking các kiểu. Ông rung đùi nghĩ mình là "trùm mạng mẽo", làm chủ cuộc chơi, không thằng nào track được bố mày.

Nhưng đời không như mơ, và code không như thơ. Thực tế là cái mớ filter DNS của ông đang bị bọn thiết bị và app trong nhà nó coi như không tồn tại. Cay chưa?

Tưởng thế là ngầu, ai dè bị "úp sọt"

Chuyện là một ông thần trên Reddit vừa phát hiện ra một sự thật phũ phàng (mà nhiều anh em SysAdmin già đời chắc cũng lờ mờ đoán ra). Ông này setup AdGuard Home, tự tin là nắm trùm network. Nhưng khi check log kỹ thì… ối dồi ôi:

1. Google Home & Android: Mấy cha nội này "bơ" đẹp cái DHCP DNS mà ông cấp. Nó hardcode thẳng DNS của Google (8.8.8.8) vào trong firmware/OS. Ông bảo nó đi đường A, nó lẳng lặng đi đường B. Hảo hán.
2. Trình duyệt & App: Giờ tụi nó chơi DoH (DNS over HTTPS) hoặc DoT (DNS over TLS). Tức là nó gói cái request DNS vào trong HTTPS (cổng 443) hoặc dùng cổng riêng (853). Con AdGuard của ông chỉ ngồi canh cổng 53 truyền thống thì làm sao mà bắt được? Khác gì bảo vệ đứng cổng chính còn trộm nó đi thang máy xuống hầm.
3. Meta (Facebook): Thằng này mới là trùm cuối. Nó nhét luôn DNS query vào hạ tầng CDN của nó. Ông mà chặn DNS của nó? Ok, app Facebook/Instagram lăn quay ra chết luôn, khỏi lướt. Đây là tính năng, không phải bug.

Kết quả? Con DNS resolver của ông ngồi chơi xơi nước, log thì sạch đẹp, còn quảng cáo và tracking thì vẫn âm thầm chảy qua network như chưa hề có cuộc chia ly.

Giang hồ mạng hiến kế sinh tồn

Ngay dưới bài phốt, anh em dev và homelab thi nhau vào chia sẻ các ngón nghề để "trị" đám thiết bị cứng đầu này. Dưới đây là mấy chiêu hay ho tôi lượm lặt được:

1. Chiêu "Gậy ông đập lưng ông" (Hack não routing) Một cao nhân (subcritikal) chia sẻ cách cực "khét": Gán luôn IP 8.8.8.8 cho con AdGuard local của mình (dùng BGP anycast hoặc IP alias).

Khi đám Google Home hay Android cố tình gọi về 8.8.8.8, hệ thống mạng sẽ lừa nó: "Ừ Google đây, em cần gì?". Nhưng thực ra nó đang nói chuyện với con server chặn quảng cáo của ông.

"Mày thích 8.8.8.8 hả? Anh chiều mày luôn, nhưng là 8.8.8.8 pha ke nhé."

2. Chiêu "Thiết quân luật" (NAT & Firewall Rules) Đây là cách chính thống và hiệu quả nhất mà dân chơi pfSense/OPNsense hay dùng:

• Block thẳng tay: Chặn sạch traffic ra ngoài internet qua cổng 53, 853 (DoT), và chặn luôn các IP DoH nổi tiếng.
• NAT Redirect: Bất kỳ thằng nào trong mạng LAN cố tình chọc ra cổng 53 (DNS) bên ngoài, firewall sẽ túm cổ, bẻ lái (NAT) về con DNS nội bộ (AdGuard/Pi-hole) xử lý.

Lúc này thiết bị vẫn tưởng nó đang chat với Google DNS, nhưng thực ra là đang bị firewall "xích cổ" dắt về nhà.

3. Chiêu "Được ăn cả, ngã về không" với Meta/Amazon Về vụ Meta (Facebook) hay Amazon Fire TV gộp chung quảng cáo vào CDN content:

• Một ông cay cú bảo: "Meta gộp DoH vào hạ tầng để ông không chặn được à? Thế thì chặn luôn cả app Meta đi. Một mũi tên trúng hai con chim."
• Một ông khác kể cái Fire TV trong phòng con ổng không chạy nếu chặn ads/tracking. Giải pháp? "Đoán xem cái gì sắp bị thay thế? Chính là cái TV."

Đúng chất dev cục súc, app láo nháo là bố xóa, thiết bị bố láo là bố vứt.

Góc nhìn từ Coding4Food: Chốt lại vấn đề

Anh em thấy đấy, cuộc chiến chặn quảng cáo và tracking chưa bao giờ là dễ ăn. Các Big Tech (Google, Meta) sống bằng ads, nên họ sẽ đẻ ra đủ thứ công nghệ (DoH, DoQ, QUIC, hardcoded IP...) để luồn lách qua cái filter bé nhỏ của anh em mình.

Bài học rút ra:

1. Đừng tin tưởng tuyệt đối vào Pi-hole/AdGuard Home ở mức cơ bản: Chỉ cài xong để đấy là chưa đủ.
2. Cần Firewall mạnh: Muốn kiểm soát triệt để, phải chơi ở mức Router/Firewall (như OPNsense, MikroTik, pfSense) để làm trò NAT redirection và block port.
3. Chấp nhận thương đau: Có những thứ không chặn được bằng DNS (như quảng cáo Youtube, Facebook Feed). Muốn chặn đám này phải dùng plugin trình duyệt (uBlock Origin) hoặc app mod (ReVanced), chứ DNS bó tay rồi.

Túm cái váy lại: Mạng nhà mình thì mình phải là chủ. Đừng để cái loa thông minh nó khôn hơn ông!

Nguồn tham khảo:

• Bài gốc trên Reddit: Your local DNS filter is probably being bypassed right now
• Blog hướng dẫn fix của tác giả: dbuglife.com