Cloudflare ra mắt 1.1.1.1 năm 2018 và nhanh chóng trở thành DNS resolver nhanh nhất thế giới. Nhưng ít người biết họ có thêm hai biến thể: 1.1.1.2 và 1.1.1.3 — cùng tốc độ, khác cấp độ lọc nội dung. Bài này giải thích sự khác nhau và giúp bạn chọn đúng cái cho từng nhu cầu.
Ba địa chỉ, ba cấp độ lọc
Chúng lọc cái gì?
Cloudflare duy trì một danh sách domain độc hại được cập nhật liên tục. Khi bạn dùng 1.1.1.2 hoặc 1.1.1.3, bất kỳ DNS query nào trỏ đến domain trong danh sách đen sẽ bị trả về NXDOMAIN (domain không tồn tại) thay vì IP thật — trình duyệt sẽ hiện lỗi không thể kết nối.
1.1.1.2 — Malware blocking chặn gì?
- Domain phát tán malware, ransomware, spyware
- Domain dùng trong phishing (giả mạo ngân hàng, email, login page)
- Domain của botnet C2 (command & control servers)
- Domain dùng để exfiltrate data ra ngoài
1.1.1.3 — Family chặn thêm gì?
- Tất cả những gì 1.1.1.2 chặn
- Toàn bộ nội dung người lớn (phân loại dựa trên category database của Cloudflare)
- Một số nền tảng hẹn hò, gambling tùy region
Trực quan hóa cấp độ lọc của từng server:
DNS mã hóa: DoH và DoT
Cả ba DNS đều hỗ trợ hai giao thức mã hóa. DNS thông thường (UDP port 53) gửi query dưới dạng plaintext — ISP có thể thấy bạn đang query domain nào. DoH và DoT giải quyết vấn đề này.
https://cloudflare-dns.com/dns-query
tls://1dot1dot1dot1.cloudflare-dns.com
1.1.1.2#853 (DoT) để có cả filter + mã hóa. Pi-hole hỗ trợ từ v5.x trở lên.
So với Google 8.8.8.8 và Quad9 9.9.9.9
| DNS | Provider | Tốc độ | Malware filter | Privacy | Log policy |
|---|---|---|---|---|---|
| 1.1.1.1 | Cloudflare | Nhanh nhất | Không | Rất tốt | Xóa sau 24h, không bán |
| 1.1.1.2 | Cloudflare | Rất nhanh | Có | Rất tốt | Xóa sau 24h, không bán |
| 1.1.1.3 | Cloudflare | Rất nhanh | Có + Adult | Rất tốt | Xóa sau 24h, không bán |
| 8.8.8.8 | Nhanh | Không | Trung bình | Lưu 24–48h, phân tích aggregate | |
| 9.9.9.9 | Quad9 | Nhanh | Có | Tốt (nonprofit) | Không log IP |
| 208.67.222.222 | OpenDNS | Nhanh | Có (tùy plan) | Trung bình | Log query, Cisco sở hữu |
Cloudflare dẫn đầu về tốc độ (median 11ms theo DNSPerf) và privacy policy là minh bạch nhất trong nhóm. Quad9 là lựa chọn thay thế tốt nếu bạn muốn malware blocking nhưng không muốn phụ thuộc vào Cloudflare.
Cấu hình trên từng thiết bị
Thay DNS chỉ mất 2-3 bước. Chọn primary và secondary tương ứng với cấp độ bạn muốn:
- Settings → Network & Internet → Adapter options
- Chuột phải vào adapter → Properties
- Chọn Internet Protocol Version 4 (TCP/IPv4) → Properties
- Nhập Preferred DNS:
1.1.1.2 - Alternate DNS:
1.0.0.2
- System Settings → Network → chọn adapter
- Click Details → tab DNS
- Click
+thêm1.1.1.2 - Thêm tiếp
1.0.0.2 - Click OK → Apply
- Settings → Network → Advanced → Private DNS
- Chọn Private DNS provider hostname
- Nhập:
family.cloudflare-dns.com - Save — Android sẽ dùng DoT tự động
- Settings → Wi-Fi → chọn mạng → i
- Kéo xuống → Configure DNS → Manual
- Xóa DNS cũ, thêm
1.1.1.2 - Thêm
1.0.0.2→ Save
- Truy cập admin router (thường
192.168.1.1) - Tìm mục DNS / DHCP settings
- Primary DNS:
1.1.1.2 - Secondary DNS:
1.0.0.2 - Save & reboot — áp dụng cho toàn bộ thiết bị
- Mở
/etc/systemd/resolved.conf - Thêm:
DNS=1.1.1.2 1.0.0.2 - Thêm:
FallbackDNS=1.1.1.1 - Restart:
systemctl restart systemd-resolved
one.one.one.one— 1.1.1.1 standardsecurity.cloudflare-dns.com— 1.1.1.2 malware blockingfamily.cloudflare-dns.com— 1.1.1.3 family
Dùng cái nào?
-
Máy dev / server cá nhân Cần truy cập mọi domain không bị chặn, test security tools, không muốn false positive1.1.1.1
-
Router văn phòng / công ty Muốn lớp bảo vệ tự động không cần cài agent, giảm rủi ro malware từ click nhầm1.1.1.2
-
Router gia đình có trẻ em Chặn malware + nội dung người lớn cho toàn bộ thiết bị trong nhà không cần app1.1.1.3
-
Điện thoại cá nhân đi ra ngoài Dùng Private DNS với1.1.1.2
security.cloudflare-dns.com— bảo vệ trên mọi mạng Wi-Fi công cộng -
Security research / Pentest lab Luôn dùng 1.1.1.1 — malware filter sẽ chặn domain C2 bạn đang phân tích1.1.1.1
nslookup whoami.cloudflare-dns.com resolver1.cloudflare.comdig @1.1.1.1 cloudflare.com +short