ما المقصود بنظام أسماء النطاقات (DNS)؟

غالبًا ما يُطلق عليه "دليل الهاتف للإنترنت"، وهناك تشبيه أكثر حداثة هو أن نظام أسماء النطاقات (DNS) يدير أسماء النطاقات بالطريقة نفسها التي تدير بها الهواتف الذكية جهات الاتصال. تلغي الهواتف الذكية حاجة المستخدمين إلى تذكّر أرقام الهواتف الفردية من خلال تخزينها في قوائم جهات اتصال يمكن البحث فيها بسهولة.

وبالمثل، يتيح نظام أسماء النطاقات DNS للمستخدمين الاتصال بالمواقع الإلكترونية باستخدام أسماء نطاقات الإنترنت بدلاً من عناوين IP. فبدلاً من الاضطرار إلى تذكر أن خادم الويب موجود على "93.184.216.34"، على سبيل المثال، يمكن للمستخدمين ببساطة الانتقال إلى صفحة الويب "www.example.com" للحصول على النتائج المرجوة.

قبل نظام أسماء النطاقات، كان الإنترنت عبارة عن شبكة متنامية من أجهزة الكمبيوتر التي تستخدمها المؤسسات الأكاديمية والبحثية في المقام الأول. قام المطورون يدويًا بتعيين أسماء المضيفين يدويًا إلى عناوين IP باستخدام ملف نصي بسيط يسمى HOSTS.TXT. احتفظت SRI International بهذه الملفات النصية ووزعتها على جميع أجهزة الكمبيوتر على الإنترنت. ومع ذلك، مع توسع الشبكة، أصبح هذا النهج غير مقبول بشكل متزايد.

وللتغلب على قيود نظام HOSTS.TXT وإنشاء نظام أكثر قابلية للتوسع، اخترع عالم الكمبيوتر بجامعة جنوب كاليفورنيا Paul Mockapetris نظام أسماء النطاقات في عام 1983. وقد ساعدت مجموعة من رواد الإنترنت في إنشاء نظام أسماء النطاقات (DNS) وألفوا أول طلب للتعليقات (RFCs) التي فصّلت مواصفات النظام الجديد، RFC 882 وRFC 883. حلت RFC 1034 وRFC 1035 لاحقًا محل RFCs السابقة.

في نهاية المطاف، ومع توسع نظام أسماء النطاقات (DNS)، أصبحت إدارة نظام أسماء النطاقات من مسؤولية هيئة أرقام الإنترنت المخصصة (IANA)، قبل أن تصبح في نهاية المطاف تحت سيطرة هيئة الإنترنت للأسماء والأرقام المخصصة (ICANN) غير الربحية في عام 1998.

منذ البداية، صمم المطورون نظام أسماء النطاقات ببنية قاعدة بيانات هرمية وموزعة لتسهيل اتباع نهج أكثر ديناميكية في حل أسماء النطاقات، وهو نهج يمكنه مواكبة شبكة أجهزة الكمبيوتر التي تتوسع بسرعة. يبدأ التسلسل الهرمي بالمستوى الجذر، الذي يُشار إليه بنقطة (.)، ويتفرع إلى نطاقات المستوى الأعلى (TLDs) - مثل ".com" أو ".org" أو ".net" أو نطاقات المستوى الأعلى لرموز البلدان (ccTLDs) مثل ".uk" و ".jp" —ونطاقات المستوى الثاني.

تتكون بنية نظام أسماء النطاقات (DNS) من نوعين من خوادم DNS، الخوادم العَودية والخوادم الموثوقة. خوادم DNS العَودية هي التي تقوم بإجراء "الطلب"، وتبحث عن المعلومات التي تربط المستخدم بموقع ويب.

عادة ما تتم إدارة الخوادم العَودية —والمعروفة أيضًا باسم المحللات العَودية أو محللات DNS —بواسطة مزودي خدمة الإنترنت (ISPs) أو الشركات الكبيرة أو مزودي خدمات DNS الآخرين التابعين لجهات خارجية. وهي تعمل بالنيابة عن المستخدم النهائي لحل اسم النطاق لتحويله إلى عنوان IP. تقوم المحللات العَودية أيضًا بتخزين الإجابات على الطلب مؤقتًا لفترة معينة (محددة بقيمة مدة البقاء أو "TTL") لتحسين كفاءة النظام للاستعلامات المستقبلية لنفس النطاق.

عندما يكتب المستخدم عنوان ويب في متصفح الويب، يتصل المتصفح بخادم DNS عَودي لحل الطلب. إذا صادف أن الخادم العَودي لديه إجابة مخزنة مؤقتًا، يمكنه توصيل المستخدم وإكمال الطلب. وبخلاف ذلك، يستعلم المُحلل العَودي عن سلسلة من خوادم DNS الموثوقة للعثور على عنوان IP وتوصيل المستخدم بالموقع المطلوب.

توفر الخوادم الموثوقة "الإجابات". تحتفظ خوادم الأسماء الموثوقة بالسجلات النهائية للنطاق وتستجيب لطلبات تخزين أسماء النطاقات داخل مناطقها (عادةً مع إجابات تم تكوينها بواسطة مالك النطاق). هناك أنواع مختلفة من خوادم الأسماء الموثوقة، يخدم كل منها وظيفة محددة ضمن التسلسل الهرمي لنظام أسماء النطاقات.

تتضمن خوادم أسماء DNS الموثوقة ما يلي:

تقع خوادم أسماء الجذر في أعلى التسلسل الهرمي لنظام أسماء النطاقات وهي مسؤولة عن إدارة منطقة الجذر (قاعدة البيانات المركزية لنظام أسماء النطاقات). فهي تجيب على الاستعلامات عن السجلات التي تم تخزينها داخل منطقة الجذر وتحيل الطلبات إلى خادم أسماء نطاقات المستوى الأعلى (TLD) المناسب.

هناك 13 عنوان IP يُستخدم للاستعلام عن 13 شبكة خادم جذر مختلفة — مُعرّفة بالحروف من A إلى M — والتي تتعامل مع طلبات نطاقات المستوى الأعلى وتوجه الاستعلامات إلى خوادم أسماء نطاقات المستوى الأعلى المناسبة. تدير هيئة الإنترنت للأسماء والأرقام المخصصة (ICANN) شبكات الخوادم الجذر هذه.

تُعد خوادم أسماء نطاقات المستوى الأعلى (TLD) هي المسؤولة عن إدارة المستوى التالي من التسلسل الهرمي، بما في ذلك نطاقات المستوى الأعلى العامة (gTLDs). توجِّه خوادم أسماء النطاقات الخاصة بالنطاقات العليا (TLD) الاستعلامات إلى خوادم الأسماء الموثوق بها للنطاقات المحددة ضمن نطاقها العلوي. وبذلك فإن خادم أسماء نطاق المستوى الأعلى لـ ".com" سيوجه النطاقات التي تنتهي بـ ".com"، وخادم أسماء نطاق المستوى الأعلى لـ ".gov" سيوجه النطاقات التي تنتهي بـ ".gov"، وهكذا.

يحتفظ خادم اسم النطاق (يُشار إليه أحيانًا باسم خادم اسم النطاق من المستوى الثاني) بملف المنطقة الذي يحتوي على عنوان IP لاسم النطاق الكامل، مثل "ibm.com".

يتبع كل استعلام (يُطلق عليه أحيانًا طلب DNS) في نظام أسماء النطاقات نفس المنطق لحل عناوين IP. عندما يقوم المستخدم بإدخال عنوان URL، يقوم جهاز الكمبيوتر الخاص به بالاستعلام تدريجياً عن خوادم DNS لتحديد موقع المعلومات المناسبة وسجلات الموارد لتلبية طلب المستخدم. وتستمر العملية حتى يعثر نظلم أسماء النطاقات (DNS) على الإجابة الصحيحة من خادم نظام أسماء النطاقات الموثوق المرتبط بذلك النطاق.

وبشكل أكثر تحديدًا، يتضمن حل الاستعلام في نظام أسماء النطاقات (DNS) العديد من العناصر والعمليات الرئيسية.

يقوم المستخدم بإدخال اسم نطاق، مثل "ibm.com"، في المتصفح أو التطبيق، ويتم إرسال الطلب إلى محلل DNS العَودي. وعادةً ما يكون لجهاز المستخدم إعدادات DNS محددة مسبقًا، يوفرها موفر خدمة الإنترنت (ISP)، والتي تحدد المُحلل العَودي الذي يستعلم عنه العميل.

يتحقق المُحلل العَودي من ذاكرة التخزين المؤقت الخاصة به—التخزين المؤقت داخل متصفح الويب أو نظام التشغيل (مثل macOS أو Windows أو Linux) الذي يحتفظ بعمليات بحث DNS السابقة—للبحث عن عنوان IP المقابل للنطاق. إذا لم يكن لدى المُحلل العَودي بيانات بحث DNS في ذاكرة التخزين المؤقت الخاصة به، فإن المُحلل يبدأ عملية استردادها من خوادم DNS الموثوقة، بدءاً من الخادم الجذر. يستعلم المُحلل العَودي عن التسلسل الهرمي لنظام أسماء النطاقات حتى يعثر على عنوان IP النهائي.

يستعلم المُحلل العَودي عن خادم الاسم الجذر، والذي يستجيب بإصدار إحالة إلى خادم نطاق المستوى الأعلى (TLD) المناسب للنطاق محل الاستعلام (خادم اسم TLD المسؤول عن نطاقات ".com"، في هذه الحالة).

يستعلم المُحلل عن خادم أسماء نطاقات المستوى الأعلى (TLD) ".com"، والذي يستجيب مع العنوان الخاص بخادم الاسم الموثوق الخاص بنطاق "ibm.com". يشار إلى هذا الخادم أحياناً باسم خادم اسم النطاق من المستوى الثاني.

يستعلم المُحلِّل عن خادم اسم النطاق، الذي يبحث في ملف منطقة DNS ويستجيب بالسجل الصحيح لاسم النطاق المقدم.

يقوم المُحلل العَودي بتخزين سجل DNS مؤقتًا—لفترة زمنية محددة بواسطة مدة البقاء (TTL) الخاصة بالسجل—ويعيد عنوان IP إلى جهاز المستخدم. يمكن للمتصفح أو التطبيق بعد ذلك بدء الاتصال بالخادم المضيف على عنوان IP هذا للوصول إلى موقع الويب أو الخدمة المطلوبة.

بالإضافة إلى أنواع الخوادم الرئيسية، يستخدم نظام أسماء النطاقات ملفات المنطقة والعديد من أنواع السجلات للمساعدة في عملية الحل. ملفات المنطقة هي ملفات نصية تتضمن تعيينات ومعلومات حول نطاق داخل منطقة DNS.

يحدد كل سطر من ملف المنطقة سجلاً من موارد DNS (جزء واحد من المعلومات حول طبيعة نوع معين أو جزء من البيانات). تضمن سجلات الموارد أنه عندما يقوم المستخدم بإرسال استعلام، يمكن لنظام أسماء النطاقات (DNS) تحويل أسماء النطاقات بسرعة إلى معلومات قابلة للتنفيذ توجه المستخدمين إلى الخادم الصحيح.

ملفات منطقة خوادم أسماء النطاقات تبدأ بسجلين إلزاميين: مدة البقاء (TTL) العالمية—التي تشير إلى كيفية تخزين السجلات في ذاكرة التخزين المؤقت المحلية لخوادم نظام أسماء النطاقات—وبداية الصلاحية (سجل SOA)—الذي يحدد خادم الاسم الموثوق الأساسي لمنطقة خوادم نظام أسماء النطاقات.

بعد السجلين الأساسيين، يمكن أن يحتوي ملف المنطقة على عدة أنواع أخرى من السجلات، بما في ذلك:

تُعيّن السجلات A إلى عناوين IPv4 وتعيّن سجلات AAAA إلى عناوين IPv6.

تحدد سجلات MX خادم البريد الإلكتروني SMTP لنطاق ما.

تعمل سجلات CNAME على إعادة توجيه أسماء المضيفين من اسم مستعار إلى نطاق آخر ("النطاق المتعارف عليه").

تشير سجلات NS إلى خادم الاسم الموثوق لنطاق ما.

تحدد سجلات PTR عملية بحث عكسي عن نظام أسماء النطاقات (DNS)، وتربط عناوين IP بأسماء النطاقات بشكل عكسي.

تشير سجلات TXT إلى سجل إطار عمل سياسة المرسل الخاص بمصادقة البريد الإلكتروني.

تتضمن عمليات بحث DNS عادةً ثلاثة أنواع من الاستعلامات. الاستعلامات العَودية، التي تربط بين الخادم العَودي وعميل DNS، إما أن تحل اسم النطاق بالكامل أو تعرض رسالة خطأ إلى المستخدم، لإعلامه بأنها غير قادرة على تحديد موقع النطاق.

الاستعلامات التكرارية (Iterative) - التي تربط المحللات العَودية (خادم DNS محلي) وخوادم DNS غير المحلية (مثل خوادم الجذر أو خوادم نطاقات المستوى الأعلى أو خوادم أسماء النطاقات)—لا تتطلب حل النطاق. بدلاً من ذلك، قد تستجيب الخوادم بالإحالة، حيث يقوم الخادم الجذر بإحالة المُحلِّل العَودي إلى نطاقات المستوى الأعلى (TLD)، والذي يحيل المُحلِّل إلى خادم موثوق يوفر الإجابة (إذا كانت الإجابة متاحة). لذلك، يتم حل الاستعلامات التكرارية إما بالإجابة أو الإحالة.

في حالة الاستعلامات غير العَودية، يعرف المحلل العَودي بالفعل تحديد مكان موقع إجابة الاستعلام، لذلك يتم حل هذه الاستعلامات دائمًا بإجابة. يوفر المُحلل الوقت إما عن طريق العثور على الإجابة المخزنة مؤقتاً على الخادم العَودي أو تخطي جذر DNS وخوادم أسماء نطاقات المستوى الأعلى TLD للانتقال مباشرةً إلى الخادم الموثوق المناسب. على سبيل المثال، إذا قدم المُحلل العَودي عنوان IP مخزنًا مؤقتًا في جلسة عمل سابقة، فإن الطلب سيُعتبر استعلامًا غير عَودي.

يتوفر للمؤسسات مجموعة من الخيارات عند استخدام نظام أسماء النطاقات DNS، بما في ذلك نظام أسماء النطاقات العام والخاص، أو مزيج من الاثنين. إن خوادم أسماء النطاقات العامة والخاصة شيئان مختلفان تمامًا؛ ولفهم كيفية استخدام خوادم أسماء النطاقات العامة والخاصة على أفضل وجه لتلبية الاحتياجات التنظيمية، من المهم فهم كيفية عمل كل نوع.

حلول نظام أسماء النطاقات المُدارة تستعين بشكل أساسي بمصادر خارجية لإدارة الخادم وعملية التنسيق. مع النظام المُدار، يتولى مزود نظام أسماء النطاقات كل ما يتعلق بالتكوينات والصيانة وبروتوكولات الأمان لخوادم نظام أسماء النطاقات الخاصة بالمؤسسة، ويستخدم العميل البنية التحتية للمزود لإدارة أسماء النطاقات. في هذه الحالة، عندما يُدخل المستخدم عنوان URL الخاص بشركة ما، يُعاد توجيهه من خادم اسم نطاق الشركة إلى خوادم المزود التي تجلب كل الموارد والرد على المستخدم.

يمكن لنظام أسماء النطاقات المُدار أيضًا أن يوفر خدمات وميزات مثل نظام أسماء نطاقات مخصص، وموازنة أحمال الخادم العالمي، وضمانات مدة التشغيل، وبنية واجهة برمجة التطبيقات أولًا، ودعم DNSSEC، وشبكات البث العالمي، وأوقات الانتشار المتسارعة، وأدوات المراقبة والتحقق من السلامة، والحماية من هجمات حجب الخدمة الموزعة وغيرها.

معظم خوادم نظام أسماء النطاقات (DNS) الحديثة آمنة تمامًا، حتى في حالة خوادم نظام أسماء النطاقات العامة. ومع ذلك، يمكن أن تظل أفضل أنظمة DNS عرضة لمشكلات الأمن السيبراني. تستهدف أنواع معينة من الهجمات الجانب الموثوق من نظام أسماء النطاقات (DNS) بينما تستهدف أنواع أخرى الجانب العَودي. تشمل هذه الهجمات:

يحدث انتحال نظام أسماء النطاقات، الذي يُطلق عليه أيضًا تسميم ذاكرة التخزين المؤقت، عندما يقوم أحد المهاجمين بإدراج سجلات عناوين زائفة في ذاكرة التخزين المؤقت لمحلل DNS، مما يتسبب في قيام المحلل بعرض عنوان IP غير صحيح وإعادة توجيه المستخدمين إلى مواقع خبيثة. يمكن أن يؤدي الانتحال إلى اختراق البيانات الحساسة ويؤدي إلى هجمات التصيد الاحتيالي وتوزيع برنامج ضار.

تضخيم نظام أسماء النطاقات هو نوع من الهجوم الموزع لحجب الخدمة (DDoS) حيث يقوم المهاجم بإرسال استعلامات صغيرة إلى خادم نظام أسماء النطاقات (DNS) مع انتحال العنوان الذي يتم عرضه باستخدام عنوان IP الخاص بالضحية. تستغل هذه الهجمات طبيعة بروتوكولات نظام أسماء النطاقات عديمة الحالة وتستفيد من حقيقة أن استعلامًا صغيرًا يمكن أن يولد استجابة كبيرة الحجم.

وكأحد نتائج هجوم التضخيم، يستجيب خادم DNS بردود أكبر بكثير، مما يؤدي إلى تضخيم كمية حركة مرور البيانات الموجهة إلى المستخدم، مما يؤدي إلى إرباك موارده وإنهاكها. قد يؤدي ذلك إلى منع DNS من العمل وتعطيل التطبيق.

هجوم نفق نظام أسماء النطاقات (DNS) هو أسلوب يُستخدم لتجاوز تدابير الأمان عن طريق تغليف حركة البيانات غير المتعلقة بنظام أسماء النطاقات، مثل HTTP، ضمن استعلامات واستجابات نظام أسماء النطاقات. يمكن للمهاجمين استخدام أنفاق DNS لترحيل أوامر برنامج ضار أو لاستخراج البيانات من شبكة مخترقة، وغالبًا ما يتم ترميز الحمولة ضمن استعلامات واستجابات DNS لتجنب الكشف عنها.

يحدث اختطاف النطاق عندما يحصل المهاجم على وصول غير مصرح به إلى حساب مسجِّل النطاق ويغير تفاصيل تسجيل النطاق. يُمكِّن الاختطاف الجهات سيئة النية من إعادة توجيه حركة مرور البيانات إلى خوادم ضارة، واعتراض رسائل البريد الإلكتروني، والسيطرة على هوية المستخدم على الإنترنت.

تُعد إدخالات DNS المهملة للنطاقات الفرعية التي تشير إلى خدمات تم إيقاف تشغيلها أهدافًا رئيسية للمهاجمين. إذا تم إيقاف تشغيل إحدى الخدمات (مثل مضيف السحابة) ولكن إدخال DNS لا يزال موجودًا، يمكن للمهاجمين المطالبة بالنطاق الفرعي وإنشاء موقع أو خدمة ضارة في مكانه.

بغض النظر عن خدمات نظام أسماء النطاقات (DNS) التي تختارها المؤسسة، فمن الحكمة تنفيذ بروتوكولات الأمن لتقليل أسطح هجمات نظام أسماء النطاقات والتخفيف من المشاكل الأمنية المحتملة وتحسين نظام أسماء النطاقات في عمليات الشبكات. تتضمن بعض الممارسات المفيدة لتعزيز أمن نظام أسماء النطاقات (DNS) ما يلي:

• نشر الامتدادات الآمنة لنظام أسماء النطاقات (DNSSEC) والشبكات الخاصة الافتراضية (VPN): تضيف امتدادات DNSSEC طبقة من الأمان إلى عمليات البحث عن نظام أسماء النطاقات من خلال طلب توقيع استجابات نظام أسماء النطاقات رقميًا. على وجه التحديد، يمكن لامتدادات DNSSEC توفير الحماية من هجمات انتحال نظام أسماء النطاقات من خلال مصادقة أصل الطلبات والتحقق من سلامة بيانات نظام أسماء النطاقات.
  
  توفر شبكات VPN ميزة السرية باستخدام التشفير لإخفاء عناوين IP بحيث تظل بيانات الموقع الجغرافي وسجل التصفح (من بين أشياء أخرى) غير قابلة للتتبع.
  
  
• توظيف ممارسات تحديد المعدل: يمكن للحد من المعدل على خوادم نظام أسماء النطاقات أن يخفف من هجمات الهجوم الموزع لحجب الخدمة (DDoS) من خلال تقييد عدد الاستجابات—أو معدل إرسال الخوادم للاستجابات—لطالب واحد في فترة زمنية محددة.
  
  
• اشتراط المصادقة الثنائية (2FA) لمسجلي النطاقات: يمكن أن يؤدي إنشاء المصادقة الثنائية (2FA) لحسابات مسجّلي النطاقات إلى زيادة صعوبة وصول المهاجمين إلى الخوادم دون تصريح وتقليل مخاطر اختطاف النطاقات.
  
  
• استخدام التكرار: نشر نظام أسماء النطاقات (DNS) في تكوين متكرر عبر عدة خوادم متباعدة جغرافياً يمكن أن يساعد في ضمان توافر الشبكة في حالة حدوث هجوم أو انقطاع. إذا تعطل الخادم الأساسي، يمكن للخوادم الثانوية تولي خدمات حل نظام أسماء النطاقات.
  
  
• تنفيذ مسح DNS: يؤدي مسح ذاكرة التخزين المؤقت لنظام أسماء النطاقات DNS بانتظام إلى إزالة جميع الإدخالات من النظام المحلي، وهو ما يمكن أن يكون مفيدًا لحذف سجلات DNS غير الصالحة أو المخترقة التي قد توجه المستخدمين إلى مواقع ضارة.
  
  
• البقاء على اطلاع على تهديدات DNS. يتطور المهاجمون والتهديدات الأمنية بنفس الطريقة التي تتطور بها الأنظمة التي يخترقونها. إن مواكبة أحدث الثغرات والتهديدات في نظام أسماء النطاقات DNS يمكن أن يساعد الفرق على أن تسبق الجهات سيئة النية بخطوة.