Cách thiết lập Shadowrocket để ngăn rò rỉ DNS — hầu hết hướng dẫn đều bỏ qua bước này!

Nhiều người, khi dùng Shadowrocket lần đầu, dồn hết sự chú ý vào những thứ như “node có nhanh không” hay “độ trễ cao đến mức nào”, trong khi lại thường bỏ qua vấn đề quan trọng hơn — rò rỉ DNS.

Mấu chốt là đa số hướng dẫn chỉ dạy bạn “cách kết nối tới node”, nhưng rất ít hướng dẫn rõ ràng cách cấu hình Shadowrocket đúng cách để tránh rò rỉ DNS.

Tiếp theo, hướng dẫn này sẽ đưa bạn đi từng bước — từ kiến thức cơ bản đến thiết lập thực tế, rồi tới kiểm tra rò rỉ DNS và phát hiện fingerprint trình duyệt — để bạn tránh những sai sót không cần thiết.

1. Rò rỉ DNS là gì? Vì sao bạn nên quan tâm

•  DNS giống như “sổ danh bạ” của internet. Khi bạn truy cập một trang web, thiết bị của bạn sẽ hỏi máy chủ DNS: “Tên miền này tương ứng với địa chỉ IP nào?”

•  Vấn đề là: nếu bạn đã dùng proxy nhưng các yêu cầu DNS lại bỏ qua proxy và đi thẳng tới ISP nội địa, thì đó là rò rỉ DNS.

•  Điều này có thể gián tiếp lộ IP thực, cho phép nhà mạng ghi lại hoạt động duyệt web của bạn, và các nền tảng vẫn có thể xác định vị trí dựa trên DNS.

Vì vậy, rò rỉ DNS không phải chuyện nhỏ — đó là một lỗ hổng quyền riêng tư.

2. Cách kiểm tra bạn có rò rỉ DNS

Trước khi điều chỉnh cài đặt, nên chạy bài kiểm tra rò rỉ DNS. Các cách phổ biến gồm:

•  Sử dụng các trang web kiểm tra rò rỉ DNS trực tuyến

•  Kết hợp công cụ phát hiện fingerprint trình duyệt để đánh giá ẩn danh tổng thể

•  Dùng công cụ kiểm tra fingerprint ToDetect để xem xét tính nhất quán giữa DNS, IP và fingerprint

Bạn nên chú ý điều gì?

•  Vị trí máy chủ DNS có khớp với node proxy của bạn hay không

•  Có xuất hiện DNS của ISP nội địa (ví dụ China Telecom/Unicom) hay không

•  Có nhiều yêu cầu DNS bất thường hay không

Nếu bạn dùng proxy nhưng vẫn thấy DNS nội địa, về cơ bản có thể khẳng định đã xảy ra rò rỉ DNS.

3. Nguyên tắc cốt lõi để ngăn rò rỉ DNS trong Shadowrocket

Trong Shadowrocket, ngăn rò rỉ DNS chủ yếu dựa trên ba điểm:

•  Bắt buộc DNS đi qua proxy

•  Dùng DNS tin cậy (như DoH/DoT)

•  Tránh sự can thiệp từ DNS mặc định của hệ thống

Tóm lại: các yêu cầu DNS của bạn phải đi “qua proxy”, không phải mạng nội bộ.

4. Cài đặt chi tiết chống rò rỉ DNS trong Shadowrocket

Dưới đây là các bước thực hành (phần mà nhiều hướng dẫn không giải thích rõ):

1️⃣ Mở cài đặt DNS

Vào Shadowrocket: Settings → DNS. Bạn sẽ thấy vài tùy chọn — đây là khu vực then chốt.

2️⃣ Cấu hình DNS mã hóa (khuyến nghị)

Nên dùng DoH (DNS over HTTPS), chẳng hạn:

https://1.1.1.1/dns-query

https://dns.google/dns-query

Hoặc: https://dns.cloudflare.com/dns-query

👉 Mục đích: Ngăn DNS bị giám sát hoặc bị can thiệp/sửa đổi

3️⃣ Bật “Proxy DNS Requests”

⚠️ Đây là bước then chốt: tìm các tùy chọn như “DNS over Proxy” / “Resolve DNS via proxy” và đảm bảo bật chúng, nếu không sẽ xảy ra rò rỉ DNS.

4️⃣ Vô hiệu hóa sự can thiệp của DNS hệ thống

Đôi khi iOS có thể buộc dùng DNS nội địa. Trong trường hợp này, bạn nên:

Bật “Global Mode” của Shadowrocket (khuyến nghị khi thử nghiệm) hoặc dùng chế độ theo rule nhưng đảm bảo DNS cũng đi qua proxy.

5️⃣ Chế độ Fake IP (Nâng cao)

Nếu bạn dùng cấu hình nâng cao, bạn có thể bật chế độ Fake‑IP.

Mục đích của nó là tránh ô nhiễm DNS, cải thiện tốc độ phân giải và giảm khả năng rò rỉ DNS — nhưng phù hợp hơn với người dùng nâng cao.

5. Cách xác minh thiết lập đã hoạt động

Đừng nghĩ mọi thứ ổn sau khi thiết lập — bạn phải chạy thêm một bài kiểm tra rò rỉ DNS. Quy trình khuyến nghị:

1. Bật proxy (kết nối Shadowrocket tới một node)

2. Truy cập kiểm tra rò rỉ DNS trang web

3. Dùng công cụ fingerprint ToDetect để kiểm tra toàn diện

4. Chạy thêm bài kiểm tra fingerprint trình duyệt, bạn nên thấy:

•  Máy chủ DNS nằm tại quốc gia của proxy

•  Không có bản ghi từ ISP nội địa

•  IP và DNS khớp nhau

Nếu tất cả điều kiện trên thỏa mãn, bảo vệ rò rỉ DNS trong Shadowrocket của bạn đang hoạt động đúng.

6. Các vấn đề rò rỉ DNS thường gặp trong Shadowrocket

❓Vấn đề 1: Vì sao vẫn rò rỉ DNS ở chế độ global?

Trả lời: Chế độ global không đồng nghĩa DNS đi qua proxy. Nhiều người bỏ sót điều này — DNS phải được cấu hình riêng.

Giải pháp: Bật “Resolve DNS via proxy” + cấu hình DoH.

❓Vấn đề 2: Dùng node của nhà cung cấp có còn bị rò rỉ DNS không?

Trả lời: Có, rất thường gặp

Có DNS trên node ≠ thực sự đang được sử dụng. Bạn có thể đang ở trạng thái “một phần qua proxy, một phần cục bộ”.

Giải pháp: Tự cấu hình DNS + bắt buộc đi qua proxy

❓Vấn đề 3: DNS bình thường, nhưng vị trí vẫn bị phát hiện?

Trả lời: Có thể do lộ fingerprint trình duyệt. Website không chỉ dựa vào DNS — họ còn kiểm tra thông tin thiết bị.

Giải pháp: Dùng công cụ fingerprint ToDetect + chạy cùng bài kiểm tra fingerprint trình duyệt.

Tổng kết

Rò rỉ DNS là thứ bạn có thể không để ý trong sử dụng hằng ngày, nhưng một khi bị phát hiện thì môi trường mạng thực của bạn có thể đã lộ ra.

Vì vậy nên hình thành thói quen: mỗi lần bạn đổi node hoặc cấu hình, hãy chạy kiểm tra rò rỉ DNS và định kỳ dùng công cụ như ToDetect để kiểm tra tổng thể môi trường của bạn.

Nhiều hướng dẫn bỏ qua phần này vì hơi phức tạp, nhưng làm ngơ có thể khiến mọi nỗ lực của bạn trở thành vô nghĩa.