5 คะแนน โดย GN⁺ 2025-05-06 | 5 ความคิดเห็น | แชร์ทาง WhatsApp
  • ในปี 2024 เว็บและซอฟต์แวร์เต็มไปด้วยโฆษณา การติดตาม วิดเจ็ตวิเคราะห์ แบนเนอร์คุกกี้ และการสื่อสารกับภายนอกอย่างไม่หยุดหย่อนจนทำให้ผู้ใช้เหนื่อยล้า และ Pi-hole คือวิธีลดสิ่งเหล่านี้ในระดับเครือข่าย
  • Pi-hole ทำงานเป็น DNS sinkhole ของเครือข่ายที่บ้านหรือสำนักงาน เพื่อบล็อกคำขอโดเมนของตัวติดตาม, CDN โฆษณา และโดเมนที่ไม่ต้องการในทุกอุปกรณ์
  • ในสภาพแวดล้อมใช้งานจริง มีการบล็อกทราฟฟิกทั้งหมดถึง 66.6% และกล่าวว่าไม่มีผลกระทบด้านฟังก์ชันต่อการทำงานประจำวัน
  • การตั้งค่าต้องมี Raspberry Pi และการ์ด microSD, อุปกรณ์ต่อพ่วงสำหรับตั้งค่าเริ่มต้น, การติดตั้ง Pi-hole และ การตั้งค่าเครือข่าย เพื่อให้เราเตอร์ส่งคำขอ DNS ไปยัง Pi-hole
  • Pi-hole เพียงอย่างเดียวบล็อกโฆษณาทั้งหมดได้ยาก สำหรับบริการอย่าง YouTube การใช้งานร่วมกับตัวบล็อกโฆษณาบนเบราว์เซอร์อย่าง uBlock Origin จึงมีประโยชน์

ทำไมต้องใช้ Pi-hole

  • ระหว่างการท่องเว็บและใช้งานซอฟต์แวร์ การเก็บข้อมูลและการติดตามที่ไม่ต้องการเพิ่มขึ้นอย่างมาก และผู้ใช้ต้องการหลีกเลี่ยงสถานการณ์ที่คอมพิวเตอร์ เบราว์เซอร์ และสัญญาณอื่น ๆ ถูกนำไปใช้สร้างโปรไฟล์โดยไม่ได้ยินยอม
  • ประสบการณ์ออนไลน์ทั่วไปในปี 2024 เต็มไปด้วยโฆษณา สคริปต์อันตราย วิดเจ็ตวิเคราะห์ วิดเจ็ตแชตบอต แบนเนอร์ยินยอมคุกกี้ที่บังหน้าเว็บ และซอฟต์แวร์ที่สื่อสารออกไปภายนอกทุกครั้งที่คลิก
  • เทคโนโลยีโฆษณาเปลี่ยนไปในทิศทางที่เอาเปรียบผู้เยี่ยมชมมากเกินไป และแนวทางตอบโต้ที่ถูกเสนอคือการวาง Pi-hole ไว้ในเครือข่ายบ้าน
  • Pi-hole เป็นโปรเจกต์ที่เป็นที่รู้จักมานานแล้ว และเป็นเครื่องมือที่ Jeff Atwood, Troy Hunt, Scott Hanselman, Scott Helme และคนอื่น ๆ พูดถึงมาหลายปี

วิธีทำงานในเครือข่าย

  • โดยทั่วไป Pi-hole รันบน Raspberry Pi แต่ในทางเทคนิคสามารถรันนอก Pi ได้เช่นกัน
  • ทำงานคล้าย DNS proxy/sinkhole ภายในเครือข่าย
    • เมื่อผู้ใช้เข้า https://example.com คำขอจะผ่าน Pi-hole ก่อน
    • จากนั้นจึงไหลต่อไปยังการสอบถามข้อมูลโดเมนจาก authoritative DNS server
  • จุดประสงค์คือการบล็อกคำขอโดเมนที่ไม่ต้องการให้เครือข่ายเข้าถึง
    • ตัวติดตาม
    • CDN ที่ให้บริการโฆษณา
    • โดเมนที่ไม่ต้องการส่งข้อมูลออกจากบ้านหรือสถานประกอบการ
  • ในเครือข่ายจริง มีการบล็อกทราฟฟิกทั้งหมดถึง 66.6% และไม่มีผลกระทบด้านฟังก์ชันต่อสิ่งที่ผู้ใช้ทำ

องค์ประกอบที่ต้องใช้ในการติดตั้ง

  • การตั้งค่า Pi-hole ไม่จำเป็นต้องลงทุนมาก และต้นทุนที่ใหญ่ที่สุดไม่ใช่อุปกรณ์ แต่เป็น เวลาที่ใช้ตั้งค่าและตรวจสอบความถูกต้อง
  • องค์ประกอบพื้นฐานมีดังนี้
    • Raspberry Pi
    • ชุดเริ่มต้น CanaKit ราคาประมาณ 155 ดอลลาร์สหรัฐ ตามราคาในสหรัฐฯ
      • รวมการ์ด microSD ที่จำเป็นสำหรับการตั้งค่าไว้ด้วย
    • จอภาพ เมาส์ และคีย์บอร์ดสำหรับเชื่อมต่อเพื่อตั้งค่า Raspberry Pi ในขั้นต้น
    • เวลาสำหรับทำตาม คู่มือติดตั้งพื้นฐานของ Pi-hole
    • เวลาสำหรับตั้งค่าเราเตอร์ให้คำขอ DNS ของเครือข่ายผ่าน Pi-hole
  • ทีม Pi-hole ทำให้กระบวนการติดตั้งเรียบง่ายที่สุดเท่าที่เป็นไปได้

การจัดการรายการโดเมนที่บล็อก

  • หลังจากติดตั้งฮาร์ดแวร์และซอฟต์แวร์แล้ว ต้องตั้งค่าให้ปลายทางคำขอ DNS ของเราเตอร์ชี้ไปยังอุปกรณ์ Pi-hole
  • ขั้นตอนถัดไปคือการกำหนดว่าจะบล็อกโดเมนใด
    • สามารถดูคำขอที่ไหลผ่านเครือข่ายโดยตรงแล้วตัดสินใจได้
    • สามารถใช้รายการบล็อกจากชุมชนได้
  • Firebog เป็นแหล่งข้อมูลที่แนะนำให้ใช้เป็นจุดเริ่มต้น และมีรายการโดเมนจำนวนมากที่ชุมชนศึกษาและรวบรวมไว้
  • ไม่จำเป็นต้องใช้ทุกรายการแบบไม่มีเงื่อนไข
    • ฟังก์ชันบางอย่างอาจเสียหรือใช้งานไม่ได้
    • สามารถตรวจสอบได้จาก บันทึกคำค้นหาแบบเรียลไทม์ ของ Pi-hole ว่าไคลเอนต์ใดพยายามเข้าถึงโดเมนใด
    • สามารถบล็อกหรืออนุญาตโดเมนแบบไดนามิกได้ตามต้องการ
  • สามารถบล็อกโดเมนที่ตรงตามเงื่อนไขเฉพาะด้วย regular expression
    • มีตัวอย่างการบล็อก TLD .cn, .ru, .hk ด้วยเหตุผลว่าพบทราฟฟิกอันตรายจำนวนมากที่มาจากรัสเซีย จีน และฮ่องกง
(^|\.)(cn|ru|hk)$
  • เมื่อใช้กฎนี้ ตราบใดที่คำขอ DNS ผ่าน Pi-hole การสื่อสารที่มุ่งหน้าไปยังเซิร์ฟเวอร์ TLD ดังกล่าวจะไม่ออกไปนอกเครือข่าย
  • TLD ของประเทศไม่ใช่เวกเตอร์โจมตีเดียวของมัลแวร์ แต่การบล็อกสิ่งเหล่านี้ถือเป็นขั้นตอนเล็ก ๆ ที่ช่วยยกระดับท่าทีด้านความปลอดภัยของเครือข่ายโดยรวม

ป้องกันการเลี่ยง DNS

  • อุปกรณ์บางตัวอาจพยายาม เลี่ยง DNS ที่ผู้ใช้ตั้งไว้ เพื่อแสดงโฆษณาหรือเก็บข้อมูลวิเคราะห์
  • วิธีรับมือจะแตกต่างกันไปตามฮาร์ดแวร์เราเตอร์ที่ใช้
  • ในสภาพแวดล้อมที่ใช้ระบบนิเวศ UniFi และ UDM Pro มีตัวอย่างการ SSH เข้า UDM แล้วรันกฎ iptables
iptables -t nat -A PREROUTING ! -s YOUR_PI_HOLE_IP -p tcp --dport 53 -j DNAT --to YOUR_PI_HOLE_IP
iptables -t nat -A PREROUTING ! -s YOUR_PI_HOLE_IP -p udp --dport 53 -j DNAT --to YOUR_PI_HOLE_IP


# Make sure that we skip 192.168.1.1 since that seems to break UniFi Protect
iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.1.2-192.168.254.254 -j MASQUERADE
  • สคริปต์นี้เปลี่ยนเส้นทางทราฟฟิก DNS ทั้งหมดบน พอร์ต 53 ไปยัง Pi-hole และใช้ NAT rule เพื่อทำ network address masquerading
  • คำสั่งแรกทำ destination NAT ให้แพ็กเก็ต TCP DNS ไปยัง IP ของ Pi-hole
    • -t nat: ระบุกฎในตาราง NAT
    • -A PREROUTING: เพิ่มกฎเข้า chain สำหรับประมวลผลแพ็กเก็ตขาเข้าก่อนการเราต์
    • ! -s YOUR_PI_HOLE_IP: ยกเว้นแพ็กเก็ตที่เริ่มจาก Pi-hole เอง
    • -p tcp: ใช้กับแพ็กเก็ต TCP
    • --dport 53: จับคู่แพ็กเก็ตที่มีปลายทางเป็นพอร์ต DNS 53
    • -j DNAT: ส่งต่อไปยัง target DNAT ที่เปลี่ยนที่อยู่ IP ปลายทาง
    • --to YOUR_PI_HOLE_IP: เปลี่ยนเส้นทางแพ็กเก็ตไปยัง IP ของ Pi-hole
  • คำสั่งที่สองใช้การประมวลผลแบบเดียวกันกับ แพ็กเก็ต UDP
  • คำสั่งที่สามคือกฎ MASQUERADE ที่เปลี่ยน source IP ของช่วง IP ภายในที่กำหนดให้เป็น IP ของเราเตอร์
    • ช่วงตัวอย่างคือตั้งแต่ 192.168.1.2 ถึง 192.168.254.254 และสามารถปรับให้เข้ากับเครือข่ายของตนเองได้
    • 192.168.1.1 ถูกยกเว้นเพื่อหลีกเลี่ยงไม่ให้ UniFi Protect เสียหาย
  • ผลลัพธ์คือคำขอ DNS แบบ TCP และ UDP จากอุปกรณ์ในเครือข่ายทั้งหมด ยกเว้นคำขอที่ออกจาก Pi-hole เอง จะถูกเปลี่ยนเส้นทางไปยัง Pi-hole

ใช้ร่วมกับตัวบล็อกโฆษณาบนเบราว์เซอร์

  • แม้ Pi-hole จะอยู่ระหว่างอุปกรณ์เครือข่ายกับอินเทอร์เน็ต ตัวบล็อกโฆษณาที่เชื่อถือได้อย่าง uBlock Origin ก็ยังมีคุณค่า
  • ในกรณีอย่าง YouTube ที่ต้องการคงการใช้บริการไว้แต่ไม่อยากดูโฆษณา การบล็อกระดับโดเมนเพียงอย่างเดียวแก้ปัญหาได้ยาก
  • Pi-hole ถูกใช้เป็น ชั้นเสริม นอกเหนือจากตัวบล็อกโฆษณาบนเบราว์เซอร์ เพื่อบล็อกคอนเทนต์และคำขอที่ไม่ต้องการ
  • ตัวบล็อกโฆษณาบนเบราว์เซอร์ยังสามารถบล็อกองค์ประกอบ UI เฉพาะ เช่น โฆษณาแบบแมนนวลหรือคอนเทนต์สปอนเซอร์ที่โหลดจากโดเมนหลักของเว็บไซต์ได้ด้วย

ประเมินหลังใช้งาน

  • หลังติดตั้ง Pi-hole ในเครือข่ายแล้ว ผลลัพธ์ดีมากจนยากจะกลับไปแบบเดิม
  • ได้นำการตั้งค่าเดียวกันไปใช้กับเครือข่ายของพ่อแม่และพ่อแม่ของคู่สมรสด้วย
  • ระบุว่าจะยังคงแนะนำต่อไป เพราะสร้างความแตกต่างอย่างมากต่อคุณภาพชีวิตออนไลน์

5 ความคิดเห็น

 
techiemann 2025-05-08

ถึงจะไม่ได้ใช้ Pi-hole ก็ตาม แต่ถ้าเป็นไปได้ การใช้ DNS ที่บล็อกโฆษณาไว้แล้วก็นับว่าโอเคเหมือนกัน

 
winterjung 2025-05-07

http://youtube.com/watch?v=OvfnqFXRybk แบบนี้ก็ติดตั้งและใช้งาน adguard ได้เหมือนกัน ดีเลยครับ

 
ndrgrd 2025-05-07

ผมลองใช้ทั้ง Adguard Home, PiHole และ NextDNS มาแล้ว แต่สุดท้ายรู้สึกว่า Adguard Home ดีที่สุด
ถ้าเปิดใช้การส่งคำขอแบบขนานและให้แคชเยอะพอ คำขอ DNS จะถูกประมวลผลได้ในเวลาไม่ถึง 10ms

 
preserde 2025-05-07

มองในแง่การบล็อกโฆษณาก็ถือว่าเป็นบริการที่ใช้ได้ครับ แต่ก็อย่างที่มีในเนื้อหาหลัก ถ้าบล็อกโฆษณาแล้วจะมีหลายบริการที่ใช้ไม่ได้แบบไม่ทันรู้ตัว เวลานั้นก็ต้องคอยปิดการบล็อกโฆษณาอะไรทำนองนั้น... ถ้าอยู่คนเดียวก็คงอีกเรื่อง แต่พอภรรยาใช้แล้วมันใช้ไม่ได้จนหงุดหงิด มันก็ปวดหัวเหมือนกัน เลยใช้แค่บนคอมส่วนตัวของผมครับ. เศร้าจัง

 
baeba 2025-05-07

โอ้.. ขอบคุณครับ..