ما المقصود بنظام أسماء النطاقات (DNS)؟

غالباً ما يُوصف نظام أسماء النطاقات بأنه "دليل هاتف الإنترنت"، ولكن التشبيه الأكثر حداثة هو أن نظام DNS يدير أسماء النطاقات تماماً كما يدير الهاتف الذكي جهات الاتصال. تلغي الهواتف الذكية حاجة المستخدمين إلى تذكّر أرقام الهواتف الفردية من خلال تخزينها في قوائم جهات اتصال يمكن البحث فيها بسهولة.

وبالمثل، يتيح نظام أسماء النطاقات للمستخدمين الاتصال بالمواقع الإلكترونية باستخدام أسماء نطاقات الإنترنت بدلاً من عناوين IP. فبدلاً من الاضطرار إلى تذكر أن خادم الويب موجود في العنوان "192.0.2.1" على سبيل المثال، يمكن للمستخدمين ببساطة الانتقال إلى صفحة الويب "www.example.com" للحصول على النتائج المرجوة.

لفهم كيفية عمل نظام أسماء النطاقات (DNS)، من المهم أولاً فهم المكونات المعنية.

منذ البداية، صُمم نظام أسماء النطاقات (DNS) بهيكل قاعدة بيانات هرمي وموزع، وذلك لتسهيل اتباع نهج أكثر ديناميكية في عملية دقة أسماء النطاقات، نهج يمكنه مواكبة الشبكة المتوسعة بسرعة من أجهزة الكمبيوتر. يبدأ التدرج الهرمي بمستوى الجذر—والذي يُرمز له بنقطة (.)—ثم يتفرع إلى نطاقات المستوى الأعلى (TLDs)—مثل ".com" و ".org" و ".net"، أو نطاقات المستوى الأعلى لرموز الدول (ccTLDs) مثل ".uk" و ".jp"—وصولاً إلى نطاقات المستوى الثاني.

تتكون بنيات DNS من نوعين من خوادم DNS: خوادم تكرارية وخوادم معتمدة. خوادم DNS التكرارية هي التي تقوم بإجراء "الطلب"، وتبحث عن المعلومات التي تربط المستخدم بموقع ويب. توفر الخوادم المعتمدة "الإجابات".

عادةً ما تتم إدارة الخوادم التكرارية—المعروفة أيضًا باسم المحللات التكرارية أو محللات DNS—بواسطة مزودي خدمة الإنترنت (ISPs) أو مزودي خدمة DNS التابعين لجهات خارجية. يمكن للمؤسسة أيضًا استضافة المحللات الخاصة بها وإدارتها.

تعمل المحللات التكرارية نيابة عن المستخدم النهائي لحل اسم النطاق إلى عنوان IP. تقوم المحللات التكرارية أيضاً بتخزين الإجابات مؤقتاً (أي حفظ نتائج عمليات البحث الأخيرة عن أسماء النطاقات) لفترة زمنية محددة (يحددها معدل البقاء، أو قيمة TTL)؛ وذلك لتحسين كفاءة النظام لعمليات الاستعلام المستقبلية لنفس النطاق.

عندما يكتب المستخدم عنوان ويب في متصفح الويب، يتصل المتصفح بخادم DNS تكراري لحل الطلب. إذا صادف أن الخادم التكراري لديه إجابة مخزنة مؤقتًا، يمكنه توصيل المستخدم وإكمال الطلب. وإلا، تقوم المحللات التكرارية باستعلام تسلسل DNS حتى يجد سجلات A (أو AAAA) التي تحتوي على عنوان IP لنطاق معين.

تحتفظ خوادم الأسماء المعتمدة بالسجلات النهائية للنطاق وتستجيب لطلبات تخزين أسماء النطاقات داخل مناطقها (عادةً مع إجابات تم تكوينها بواسطة مالك النطاق). هناك خوادم معتمدة مختلفة، كل منها مسؤول عن جزء محدد من مساحة الأسماء.

تقع خوادم أسماء الجذر في الجزء العلوي من التسلسل الهرمي لنظام أسماء النطاقات وهي مسؤولة عن خدمة منطقة الجذر (قاعدة البيانات المركزية لنظام أسماء النطاقات). هناك 13 "هوية" أو "جهة مرجعية" لخوادم أسماء الجذر (وهي عبارة عن مجموعات منطقية من خوادم الجذر) يُرمز إليها بالأحرف من A إلى M. تتولى هذه الخوادم الرد على الاستعلامات الخاصة بالسجلات المخزنة داخل منطقة الجذر، كما تقوم بتحويل الطلبات إلى خادم أسماء نطاقات المستوى الأعلى (TLD) المناسب.

تُعد خوادم أسماء نطاقات المستوى الأعلى (TLD) هي المسؤولة عن إدارة المستوى التالي من التسلسل الهرمي، بما في ذلك نطاقات المستوى الأعلى العامة (gTLDs). تقوم خوادم أسماء TLD بتوجيه الاستعلامات إلى خوادم الأسماء المعتمدة للنطاقات المحددة ضمن نطاق TLD الخاص بها. لذا ، فإن خادم اسم TLD لـ ".com" سيقوم بتوجيه النطاقات التي تنتهي بـ ".com"، بينما يقوم خادم أسماء النطاقات العلوية لـ ".gov" بتوجيه النطاقات التي تنتهي بـ ".gov"، وهكذا دواليك.

خوادم أسماء النطاقات من المستوى الثاني—وهي غالبية خوادم أسماء النطاقات—تحتفظ بملفات المناطق التي تحتوي على عنوان IP للاسم الكامل للنطاق (على سبيل المثال، "ibm.com").

بالإضافة إلى أنواع الخوادم الرئيسية، يستخدم نظام أسماء النطاقات ملفات المنطقة والعديد من أنواع السجلات للمساعدة في عملية الحل. ملفات المنطقة هي ملفات نصية تتضمن تعيينات ومعلومات حول نطاقات محددة داخل منطقة DNS.

يحدد كل سطر من ملف المنطقة سجلاً من موارد DNS—جزء واحد من المعلومات حول طبيعة نوع معين أو جزء من البيانات). تساعد سجلات الموارد في ضمان أنه عند قيام المستخدم بإرسال استعلام، يمكن لنظام DNS تحويل أسماء النطاقات بسرعة إلى معلومات قابلة للتنفيذ توجه الاستعلامات إلى الخادم الصحيح.

تبدأ ملفات منطقة نظام أسماء النطاقات بسجلين إلزاميين: سجل خادم الاسم (NS)—الذي يشير إلى خادم الاسم المعتمد لنطاق ما—وسجل بدء الصلاحية (SOA)—الذي يحدد خادم الاسم المعتمد الرئيسي لمنطقة نظام أسماء النطاقات.

بعد السجلين الأساسيين، يمكن أن يحتوي ملف المنطقة على عدة أنواع أخرى من السجلات. وتتضمن ما يلي:

تتبع كل استعلام (يُسمى أحياناً طلب DNS) نفس المنطق لتحويل عناوين الـ IP. هناك طرق مختلفة يتم من خلالها بدء الاستعلامات—وكمثال شائع، دعنا نأخذ في الاعتبار شخصاً يستخدم متصفح الويب.

عندما يُدخل المستخدم عنوان URL في متصفح الويب الخاص به، يرسل المتصفح الاستعلام إلى محلل DNS، والذي يقوم بدوره باستعلام خوادم أسماء النطاقات المعتمدة بشكل تدريجي لتحديد خادم الأسماء المعتمد الذي يحمل سجلات النطاق، بما في ذلك عنوان IP المرتبط به. يتم إرجاع عنوان IP إلى المتصفح، ويكون المستخدم متصلا بالموقع الإلكتروني.

وبشكل أكثر تحديدًا، يتضمن حل الاستعلام في نظام أسماء النطاقات (DNS) العديد من العناصر والعمليات الرئيسية

• بدء الاستعلام. يقوم المستخدم بإدخال اسم نطاق، مثل "ibm.com"، في متصفح أو تطبيق. إذا لم يكن عنوان IP الخاص بالموقع المعني موجوداً في ذاكرة التخزين المؤقت للمتصفح، يتم إرسال الطلب إلى محللات نظام أسماء النطاقات التكرارية.
  
  عادةً ما يكون لجهاز المستخدم إعدادات DNS محددة مسبقًا، يوفرها مزود خدمة الإنترنت، والتي تحدد المحللات التكرارية الذي يتلقى الطلب.
  
  *تتطور هذه العملية باستمرار، حيث تدعم العديد من المتصفحات الحديثة بروتوكول (DNS over HTTPS (DoH، والذي يتيح إجراء استعلامات نظام أسماء النطاقات عبر بروتوكول HTTPS المشفر، كما قام العديد من المزودين بإعداد خوادم مخصصة لهذا النوع من الاستعلامات. على سبيل المثال، إذا كنت تستخدم متصفح Firefox في الولايات المتحدة، فإنه سيقوم افتراضياً بإرسال الاستعلام إلى خادم Cloudflare DoH بدلاً من المحللات التابعة لمزود خدمة الإنترنت المحلي. أصبح بروتوكول DoH أكثر شيوعاً لأنه يوفر خصوصية متزايدة وأداءً أفضل بالإضافة إلى مزايا أخرى.

• المحللات التكرارية. تقوم المحللات التكرارية بفحص ذاكرة التخزين المؤقت الخاصة به بحثًا عن عنوان IP المقابل للنطاق. إذا لم تمتلك المحللات التكرارية السجلات اللازمة في ذاكرة التخزين المؤقت الخاصة به، فإنه يبدأ عملية البحث، انطلاقاً من خادم الجذر.

• خادم أسماء الجذر. تقوم المحللات التكرارية بالاستعلام من خادم أسماء الجذر، والذي يرد بدوره عبر توجيهه إلى خادم TLD المناسب للنطاق المعني (وهو في هذه الحالة خادم TLD المسؤول عن نطاقات ".com").

• خادم أسماء نطاق المستوى الأعلى (TLD). تستعلم المحللات عن خادم أسماء نطاقات المستوى الأعلى (TLD) ".com"، والذي يرد بدوره بعنوان خادم الأسماء المعتمد الخاص بـ "ibm.com".

• خادم اسم النطاق. تستعلم المحللات عن خادم اسم النطاق، الذي يبحث في ملف منطقة DNS ويستجيب بالسجل الصحيح لاسم النطاق المقدم.

• حل الاستعلام. تقوم المحللات التكرارية بإرجاع عنوان IP إلى جهاز المستخدم. يمكن للمتصفح أو التطبيق بعد ذلك بدء الاتصال بالخادم المضيف على عنوان IP هذا للوصول إلى موقع الويب أو الخدمة المطلوبة. يقوم المتصفح والمحلل بتخزين السجلات مؤقتاً وفقاً لإعداداتهما الخاصة وفترات صلاحية مدة البقاء (TTLs).

DNS هو في الأساس بروتوكول عام. لا يُعَد DNS العام والخاص بالضرورة مصطلحات ومفاهيم دقيقة ومستخدمة عالميًا ومفهومة، وغالبًا ما يكون استخدامها غير دقيق.

غالبًا ما يُستخدم مصطلح نظام أسماء النطاقات العام للإشارة إلى عملية حل أسماء النطاقات "القياسية"، أومحللات DNS العامة؛ حيث تقوم المحللات التكرارية بالاستعلام من سلسلة من الخوادم المعتمدة التي تحتفظ بسجلات DNS متاحة للعموم لتحديد عنوان الـ IP، وفي نهاية المطاف، ربط المستخدم بالموقع الإلكتروني الذي يبحث عنه. غالباً ما يكون ذلك محللات يوفرُها مزود خدمة الإنترنت الخاص بالمستخدم، أو من خلال خدمة DNS مثل خدمة Google Public DNS المعروفة بـ "quad 8". يمكن أيضاً تهيئة المحللات الخاصة للاستعلام من نظام أسماء النطاقات العام، ولكنها تُستخدم بشكل أكثر شيوعاً في الشبكات المقيدة أو شبكات الشركات.

غالباً ما يُشار إلى عملية البحث هذه في نظام أسماء النطاقات (DNS)، وذلك بسبب وجود المحللات المتاحة للجمهور، وحقيقة أن سجلات الـ DNS الموجودة على هذه الخوادم المعتمدة يمكن لأي شخص لديه اتصال بالإنترنت الوصول إليها.

بل إن استخدام "DNS الخاص" أكثر غموضًا. يُستخدم أحياناً لوصف استخدام بروتوكولات التشفير مثل DNS over TLS (DoT) أو DNS over HTTPS (DoH). ومع ذلك، فإن وصف هذه الميزات بأنها "ميزات خصوصية" أو "بروتوكولات خصوصية" هو وصف أكثر دقة من تسميتها "نظام أسماء نطاقات خاص". تظل عملية الحل كما هي، حيث تستخدم محللات نظام أسماء النطاقات المتاح علناً للعثور على ما تحتاج إليه. في هذه الحالة، يتم ذلك ببساطة عن طريق النقل المشفر.

يُستخدم نظام DNS الخاص أيضاً للإشارة إلى عمليات البحث داخل شبكة مغلقة وداخلية، مثل الشبكات المؤسسية أو السحب الخاصة الافتراضية، حيث يقتصر الوصول على المستخدمين المصرح لهم فقط. في مثل هذا النظام، تقوم محللات العناوين الخاصة والمُهيأة محلياً بالاستعلام من خوادم خاصة لتحديد مواقع الموارد والمواقع داخل شبكة داخلية. تمت تهيئة هذه الخوادم لخدمة النطاقات الخاصة وعناوين البروتوكول (IP) الداخلية فقط، وتقوم الشبكة بإبقاء روابط URL وعناوين الـ IP الداخلية مخفية عن بقية شبكة الإنترنت. يوفر هذا النوع من DNS الخاص للمؤسسات تحكماً وأماناً أكبر.

هناك العديد من الطرق لتكوين هذا النوع من الشبكات. إحدى الطرق هي من خلال نطاق الاستخدام الخاص مثل .local يُستخدم للحل على الشبكات المحلية. طريقة آخرى هو أن يكون لديك نطاقات فرعية خاصة بالنطاقات المتاحة علناً على الإنترنت. لن يكون هذا النطاق الفرعي الخاص متاحًا إلا للأفراد أو الوكلاء الذين يستخدمون المحللات داخل الشبكة الداخلية.

يُطلق على الإعداد المؤسسي الشائع الذي يجمع بين نظام أسماء النطاقات "العام" و"الخاص" اسم "نظام أسماء النطاقات منقسم الأفق (split-horizon DNS)"، أو "نظام أسماء النطاقات منقسم الدماغ (split-brain DNS)". في هذا التكوين، يوجد متكرر محلي يقوم بالاستعلام من خوادم معتمدة محلية وخاصة للطلبات الداخلية، بينما يعتمد على نظام DNS القياسي بخصوص الاستعلامات الخارجية. عادةً ما تكون هناك قائمة بأسماء النطاقات، وهي نوع من "قائمة المسموحات" (allow list)، تُخبر الخادم بأي الطلبات يجب توجيهها إلى الخوادم الداخلية، وأيها يتم تمريرها إلى شبكة الإنترنت العامة.

DNS المُدار هي خدمة مقدمة من طرف ثالث تمكن المؤسسات من الاستعانة بمصادر خارجية لاستضافة وتشغيل وإدارة البنية التحتية لنظام أسماء النطاقات (DNS) الخاص بها. من خلال خدمة نظام أسماء النطاقات المُدار، تُستضاف سجلات نظام أسماء النطاقات المعتمدة الخاصة بنطاقات المؤسسة على شبكة خوادم المزود الموزعة عالمياً. في كثير من الحالات، يوفر مزودو خدمة DNS المُدار لوحة تحكم مركزية، أو لوحة معلومات، أو واجهات برمجة تطبيقات (APIs) تمكّن العملاء من إدارة وأتمتة سجلات DNS الخاصة بهم والإعدادات الأخرى.

غالباً ما توفر DNS Services ميزات مثل توجيه Anycast، وموازنة الأحمال، واتفاقيات مستوى الخدمة (SLAs)، وتجاوز الفشل، DNSSEC، وأدوات المراقبة واستكشاف الأخطاء وإصلاحها؛ مما يتيح دقة استعلام للنطاقات بشكل أسرع وأكثر موثوقية وأماناً مقارنة بإعدادات الـ DNS التقليدية التي يتم إدارتها ذاتياً.

حتى أفضل أنظمة DNS يمكن أن تكون عرضة لمشكلات الأمن السيبراني. تشمل الهجمات المتعلقة بنظام أسماء النطاقات (DNS) ما يلي:

يحدث انتحال نظام أسماء النطاقات، الذي يُطلق عليه أيضًا تسميم ذاكرة التخزين المؤقت، عندما يقوم أحد المهاجمين بإدراج سجلات عناوين زائفة في ذاكرة التخزين المؤقت لمحللات DNS، مما يتسبب في قيام المحللات بعرض عنوان IP غير صحيحة وإعادة توجيه المستخدمين إلى مواقع خبيثة. يمكن أن يؤدي الانتحال إلى اختراق البيانات الحساسة ويؤدي إلى هجمات التصيد الاحتيالي وتوزيع برنامج ضار.

تضخيم نظام أسماء النطاقات هو نوع من هجوم موزع لحجب الخدمة (DDoS) حيث يقوم المهاجم بإرسال استعلامات صغيرة إلى خادم DNS مع انتحال العنوان الذي يتم عرضه باستخدام عنوان IP الخاص بالضحية. تستغل هذه الهجمات طبيعة بروتوكولات نظام أسماء النطاقات عديمة الحالة وتستفيد من حقيقة أن استعلامًا صغيرًا يمكن أن يولد استجابة كبيرة الحجم.

وكأحد نتائج هجوم التضخيم، يستجيب خادم DNS بردود أكبر بكثير، مما يؤدي إلى تضخيم كمية حركة مرور البيانات الموجهة إلى المستخدم، مما يؤدي إلى إرباك موارده وإنهاكها. قد يؤدي ذلك إلى منع DNS من العمل وتعطيل التطبيق.

هجوم نفق نظام أسماء النطاقات (DNS) هو أسلوب يُستخدم لتجاوز تدابير الأمان عن طريق تغليف حركة البيانات غير المتعلقة بنظام أسماء النطاقات، مثل HTTP، ضمن استعلامات واستجابات نظام أسماء النطاقات. يمكن للمهاجمين استخدام أنفاق DNS لترحيل أوامر برنامج ضار أو لاستخراج البيانات من شبكة مخترقة، وغالبًا ما يتم ترميز الحمولة ضمن استعلامات واستجابات DNS لتجنب الكشف عنها.

تُعد إدخالات DNS المهملة للنطاقات الفرعية التي تشير إلى خدمات تم إيقاف تشغيلها أهدافًا رئيسية للمهاجمين. إذا تم إيقاف تشغيل إحدى الخدمات (مثل مضيف السحابة) ولكن إدخال DNS لا يزال موجودًا، يمكن للمهاجمين المطالبة بالنطاق الفرعي وإنشاء موقع أو خدمة ضارة في مكانه.

بغض النظر عن خدمات DNS التي تختارها المؤسسة، من المهم تنفيذ بروتوكولات الأمن لتقليل أسطح هجمات نظام أسماء النطاقات والتخفيف من المشاكل الأمنية المحتملة وتحسين نظام أسماء النطاقات في عمليات الشبكات. تتضمن بعض الممارسات المفيدة لتعزيز أمن DNS ما يلي:

• نشر امتدادات أمن نظام أسماء النطاقات (DNSSECs). يضيف نظام DNSSEC طبقة من الأمان إلى عمليات البحث في DNS من خلال اشتراط التوقيع الرقمي لاستجابات الـ DNS. يمكن لامتدادات DNSSEC توفير الحماية من هجمات انتحال نظام أسماء النطاقات من خلال مصادقة أصل الطلبات والتحقق من سلامة بيانات نظام أسماء النطاقات.

• توظيف ممارسات الحد من معدل. يمكن لخاصية تحديد معدل الطلبات على خوادم الـ DNS أن تحد من هجمات حجب الخدمة الموزعة (DDoS)، وذلك من خلال تقييد عدد الاستجابات —أو المعدل الذي ترسل به الخوادم تلك الاستجابات— لمطالبٍ واحد خلال فترة زمنية محددة.

• اشتراط المصادقة الثنائية (2FA) لمسجلي النطاقات.يمكن أن يؤدي إنشاء المصادقة الثنائية (2FA) لحسابات مسجّلي النطاقات إلى زيادة صعوبة وصول المهاجمين إلى الخوادم دون تصريح وتقليل مخاطر اختطاف النطاقات.

• استخدام التكرار. إن نشر نظام أسماء النطاقات (DNS) بتكوين متكرر عبر عدة خوادم موزعة جغرافياً يمكن أن يساعد في ضمان توافر الشبكة في حال حدوث هجوم أو انقطاع. إذا تعطل الخادم الأساسي، يمكن للخوادم الثانوية تولي خدمات حل نظام أسماء النطاقات.

• تنفيذ مسح DNS. يؤدي مسح ذاكرة التخزين المؤقت لنظام أسماء النطاقات DNS إلى إزالة جميع الإدخالات من الشبكة المحلية، وهو ما يمكن أن يكون مفيدًا لحذف سجلات DNS غير الصالحة أو المخترقة التي قد توجه المستخدمين إلى مواقع ضارة. بشكل عام، هذه خدمة عند الطلب يقدمها مشغل المحللات. خلاف ذلك، يتم مسح ذاكرات التخزين المؤقت عند انتهاء صلاحية مدة البقاء (TTLs).
  
  
• البقاء على اطلاع على تهديدات DNS. يتطور المهاجمون والتهديدات الأمنية بنفس الطريقة التي تتطور بها الأنظمة التي يخترقونها. إن مواكبة أحدث الثغرات والتهديدات في نظام أسماء النطاقات DNS يمكن أن يساعد الفرق على أن تسبق الجهات سيئة النية بخطوة.

قبل نظام أسماء النطاقات، كان الإنترنت عبارة عن شبكة متنامية من أجهزة الكمبيوتر التي تستخدمها المؤسسات الأكاديمية والبحثية في المقام الأول. قام المطورون يدويًا بربط أسماء المضيفين بعناوين IP باستخدام ملفات نصية بسيطة تسمى HOSTS.TXT، والتي كانت تديرها مؤسسة SRI International وتوزعها على كل جهاز كمبيوتر على شبكة الإنترنت. ومع ذلك، مع توسع الشبكة، أصبح هذا النهج غير مقبول بشكل متزايد.

وللتغلب على قيود نظام HOSTS.TXT وإنشاء نظام أكثر قابلية للتوسع، اخترع عالم الكمبيوتر بجامعة جنوب كاليفورنيا Paul Mockapetris نظام أسماء النطاقات في عام 1983. إن مجموعة رواد الإنترنت الذين ساهموا في إنشاء نظام أسماء النطاقات (DNS)، هم أنفسهم من صاغوا أولى وثائق ’طلب التعليقات‘ (RFCs) التي فصّلت مواصفات النظام الجديد، وهما الوثيقتان RFC 882 و RFC 883. حلت RFC 1034 وRFC 1035 لاحقًا محل RFCs السابقة.

في نهاية المطاف، ومع توسع نظام أسماء النطاقات (DNS)، أصبحت إدارته من مسؤولية هيئة أرقام الإنترنت المخصصة (IANA)، قبل أن تستقر في الأخير تحت سيطرة المؤسسة غير الربحية، هيئة الإنترنت للأسماء والأرقام المخصصة (ICANN)، في عام 1998.