نظام أسماء النطاقات العام مقابل الخاص: ما الفرق؟

كلاهما يؤدي العمل نفسه: فك تشفير الأسماء والعناوين. خادم أسماء موجود على الإنترنت ويعمل بطريقة شبيهة بدليل الهاتف، حيث يحوِّل أسماء النطاقات المقروءة للبشر (مثل ibm.com) إلى عناوين IP رقمية يمكن للآلات تفسيرها. وهي عملية مطابقة أساسية تمكِّن متصفحات الويب من الوصول بدقة إلى وجهات الويب المناسبة التي يبحث عنها المستخدمون.

فيما يلي الخطوات التي تجعل نظام DNS العام يعمل: 

1. تبدأ أنشطة ترجمة الأسماء عندما يطلب المستخدم اسم نطاق. يُدخل المستخدمون طلبات DNS عبر كتابة عنوان موقع الويب في متصفحهم المفضل.
2. يُجري جهاز المستخدم (المعروف أيضًا كنقطة نهاية) فحص DNS محليًا للتحقق من إذا ما كانت ذاكرة التخزين المؤقت للجهاز أو خوادم DNS المحلية تحتوي بالفعل على عنوان IP مطابق لذلك النطاق.
3. عندما يفشل فحص DNS المحلي في العثور على تطابق، تتم إعادة توجيه الطلب إلى محلل DNS متكرر. غالبًا ما يتم توفير المحلل من قِبل مزوِّد خدمة الإنترنت (ISP) أو خدمة DNS عامة، مثل تلك التي تقدمها شركات مثل Google أو Cloudflare.
4. يتواصل المحلل مع خادم اسم الجذر الذي يوجِّه استعلامات DNS من خلال إرشادها إلى خادم نطاق المستوى الأعلى (TLD) القادر على معالجة الطلب.
5. في الخطوة التالية، يرسل المحلل استعلامًا إلى خادم TLD، والذي بدوره يُشير إلى خادم الأسماء الموثوق به لهذا النطاق المحدد.
6. يحتفظ خادم الأسماء الموثوق به المعنيّ بعنوان IP هذا للموقع الإلكتروني ويسلمه مرة أخرى إلى المحلل المتكرر.
7. يعمل المحلل على تحميل بيانات DNS في ذاكرة التخزين المؤقت الخاصة بنظام DNS لاستخدامها لاحقًا، وفي الوقت نفسه يُعيد عنوان IP المعتمد إلى الجهاز الذي أصدر الطلب الأصلي.
8. اكتملت الآن عملية تحليل DNS. أصبح المتصفح في الجهاز الآن قادرًا على الاتصال بخادم الويب عبر عنوان IP هذا وتنزيل محتوى الموقع الإلكتروني.

هذا قدر كبير من التوجيه ذهابًا وإيابًا لمجرد الحصول على عنوان URL صالح للاستخدام. المدهش في الأمر هو مدى سرعة تنفيذ جميع استجابات DNS هذه.

ما مدى سرعته؟ يعتمد الأمر جزئيًا على مشكلات متعلقة بالأداء مثل الاتصال وزمن انتقال البيانات، لكن في أبطأ حالاته قد تستغرق عملية DNS العامة بضع ثوانٍ. ومع ذلك، في أعلى سرعة قد تستغرق العملية نفسها بضع ميللي ثانية فقط.

بمجرد التفاوض على عنوان IP واعتماده بشكل صحيح، يتمكَّن المستخدم من الوصول إليه. قبل أن يبدأ تنزيل المحتوى كسجل DNS، يتم تعيين قيمة وقت البقاء (TTL) له، وهي إعداد يحدِّد عدد المرات التي يمكن فيها تنزيل سجلات DNS نفسها.

يتم تثبيت قِيَم TTL لمنع بقاء المحتوى على الإنترنت لفترات زمنية طويلة بشكل مفرط. تعمل قِيَم TTL كعداد يتناقص في كل مرة يتم فيها الوصول إلى المحتوى على الإنترنت. عندما يصل العداد إلى الصفر، يصبح هذا المحتوى غير متاح للمستخدم.

عندما تختار مؤسسة أو فرد ما أقصى درجات الخصوصية عبر تشغيل نظام DNS خاص بهم، فإن العملية التي تتحكم في كيفية عمله تتطلب خطوات أقل تدريجية. تميل العملية أيضًا إلى أن تكون أسرع بكثير مقارنةً بسرعة تشغيل خدمات DNS العامة. ويحقق ذلك الإنجاز بشكل أساسي من خلال العزل المفروض.

يشير "مصطلح DNS الخاص" إلى معنيين محددين، وذلك بحسب مكان وكيفية تنفيذه. قد يشير إلى تشغيل مناطق DNS خاصة داخل بيئة الحوسبة السحابية بحيث يمكنها الوصول إلى الموارد الداخلية. وبدلًا من ذلك، قد يشير أيضًا إلى خدمة DNS خاصة داخلية يتم تشغيلها على جهاز المستخدم للحماية من محتوى محدد والمساعدة على تشفير الاستعلامات.

تتلخص عملية البحث عن الاسم ومعالجته في مناطق DNS الخاصة في الخطوات التالية:

1. يُدخل المستخدم عنوانًا لموقع ويب (مثل: www.example.com) في متصفحه.
2. يُصدر الجهاز المستخدم استعلام DNS للبحث عن عنوان IP المطابق لهذا الموقع الإلكتروني.
3. عند هذه النقطة تتفرع مسارات DNS العام وDNS الخاص بشكل كامل. يستخدم الجهاز نفقًا مشفرًا للاتصال بخادم DNS خاص، بخلاف DNS العام حيث يتم استخدام استعلام مشفر بدلًا من ذلك. توفِّر البروتوكولات الداخلية الآمنة مثل DNS over TLS ‏(DoT) أو DNS over HTTPS ‏(DoH) القنوات الآمنة المطلوبة. تحقِّق الشبكات الخاصة الافتراضية (VPN) وظيفة التشفير نفسها بمساعدة مزوِّد VPN.
4. يتلقى خادم DNS الخاص الطلب المشفر ويعالجه عبر تحديد عنوان IP الصحيح ثم يعيده إلى الجهاز الأصلي باستخدام الاتصال الآمن المشفر نفسه.
5. مع إعادة إرسال عنوان IP الصحيح إلى الجهاز، يتصل الجهاز بعد ذلك بشكل آمن بخادم هذا الموقع الإلكتروني.

ستة مجالات للمقارنة المباشرة توضِّح بدقة الفروقات الرئيسية (والتشابهات الطفيفة) بين DNS العام وDNS الخاص.

الغرض العام لكل من DNS العام وDNS الخاص متشابه بشكل واضح. كلاهما يترجم أسماء النطاقات.

يعمل نظام DNS العام على فك تشفير أسماء النطاقات العامة إلى عناوين IP عامة صحيحة لتمكين المستخدمين من الوصول إلى تلك المواقع على الإنترنت.

في المقابل، يعمل نظام DNS الخاص على ترجمة أسماء DNS المستخدمة داخليًا إلى عناوين IP داخلية، ما يُتيح للجهات المختلفة داخل تلك المجموعة أو المؤسسة التفاعل بكفاءة.

يُعَد الأمان عاملًا مهمًا في هذه المقارنة. ففي نهاية المطاف، تُعَد الحماية السبب الأساسي لوجود تقنية نظام DNS الخاص. عادةً ما تختار المؤسسات التي تتطلب أقصى درجات الأمان استخدام نظام DNS الخاص، الذي يُخفي تفاصيل الشبكة عن الإنترنت العام.

يوفر أمان نظام DNS العام عددًا أقل بكثير من التدابير الوقائية، لكنه يعوِّض هذا الخلل بميزات أخرى تهدف إلى الحماية من محاولات التصيد الاحتيالي والبرامج الضارة.

يستخدم المطورون بشكل روتيني ملحقات أمان نظام أسماء النطاقات (DNSSEC) لتعزيز بروتوكولات أمان DNS من خلال إضافة التوقيعات الرقمية. يمكن تطبيق تدابير الأمان التقليدية للإنترنت مثل جدران الحماية مع كلٍّ من DNS العام وDNS الخاص. 

عندما يتعلق الأمر بمن يمكنه الوصول إلى نظام DNS معين، فإن الأمر يعتمد كليًا على نوع نظام DNS المقصود. إذا كان DNS عامًّا، فإنه متاح لأي شخص يمتلك جهازًا متصلًا بالإنترنت.

على النقيض من ذلك، في DNS الخاص، يكون الوصول عادةً مضبوطًا بشكل صارم ومعتمدًا على الوصول المحلي داخل المؤسسة. كما أن الوصول يقتصر على مستخدمي الشبكة الداخلية المحددين، مثل الموظفين العاملين في مقر الشركة أو عبر السحابة الخاصة الافتراضية.

للوصول من وراء الكواليس، يستخدم مسؤولو الشبكة أداة استعلام مثل nslookup (بحث خادم الأسماء) للبحث عن عناوين IP وتنفيذ الأنشطة العامة لاستكشاف الأخطاء وإصلاحها من خلال الموجِّهات.

من يتحكَّم ويشغِّل الخادم الذي سيتم استخدامه؟ الجواب بسيط بالنسبة إلى نظام DNS الخاص: إنه الشركة أو المجموعة التي تُدير تلك الشبكة الداخلية. وهم يحتفظون بأي خوادم DNS خاصة ويشرفون على إدارتها.

بالنسبة إلى نظام DNS العام، يعمل مزوِّد خدمة الإنترنت (ISP) أو مزوِّد خارجي مثل Cloudflare أو Google على تشغيل الخادم. في كِلتا الحالتين، يحتفظ كيان خارجي بالتحكم المباشر في الخادم.

لم يَعُد الأداء مسألة واضحة ومباشرة كما كان في السابق. كان من المتفق عليه سلفًا أن DNS الخاص يوفر أداءً أسرع من DNS العام. في النهاية، كانت المعلومات المطلوبة من خلال الاستعلامات الداخلية تقطع مسافة أقل إذا كانت موجودة ضمن شبكة خاصة. وقد أدى هذا إلى تقليل تأثير مشكلة زمن الانتقال.

مع ذلك، أصبح تحقيق مستويات الأداء اللازمة للوصول إلى سرعات فائقة على DNS العام أكثر قابلية للتنفيذ غالبًا، حسب مزوِّد الخدمة. يعود هذا التحسن إلى الشبكات العالمية التي توفِّر سرعة أكبر للشبكة ونقل بيانات أكثر استقرارًا. عادةً ما يعتمد تحديد أيهما يقدِّم أداءً أفضل، DNS العام أم DNS الخاص، إلى حد كبير على الشبكة المعنية.

هذا المجال هو أحد المجالات التي يوفر فيها DNS الخاص خيارات أكثر بكثير من DNS العام. يُتيح DNS الخاص للمجموعة أو الشركة إنشاء إعدادات مخصصة بناءً على احتياجات تلك الجهة. قد يشمل DNS المخصص القدرة على تنفيذ مخططات تسمية نطاقات مخصصة أو حتى إجراء تصفية للمحتوى.

بالمقابل، يقتصر DNS العام على عدد محدود من خيارات التخصيص. يُنشئ المطورون إعدادات له بصيغة موحَّدة لجميع مستخدمي DNS العام.

حدثت تغييرات كبيرة في DNS وستستمر هذه التغيُّرات مع استمرار تقدُّم التكنولوجيا المتعلقة به ومحاولتها مواكبة التوسع العالمي المستمر للمستخدمين.

على سبيل المثال، لنأخذ بروتوكول توجيه الإنترنت IPv4. تم تطوير IPv4 (إصدار بروتوكول الإنترنت 4) خلال سبعينيات القرن العشرين وتم تقديمه رسميًا في أوائل الثمانينيات، قبل ثورة الإنترنت. عناوين IPv4 هي تسميات رقمية بطول 32 بت يمكن تخصيصها لأي جهاز يتصل بشبكة كمبيوتر، وهي ضرورية لأغراض الاتصال والتوجيه. يتم التعبير عن عناوين IPv4 كسلاسل طويلة من الأرقام، مفصولة بفواصل زمنية مختلفة باستخدام النقاط.

استنادًا إلى قوانين الاحتمالات، يمكننا حساب أنه بالنظر إلى عدد الأعداد الصحيحة الموجودة في كل عنوان IPv4، يمكن أن يكون هناك حوالي 4.3 مليارات عنوان. وحتى هذا العدد الهائل تبين أنه غير كافٍ لمواكبة الزيادة المستمرة في عدد الأجهزة التقنية التي تحتاج إلى الاتصال بالشبكات.

تم تقديم IPv6 (إصدار بروتوكول الإنترنت 6) في عام 1995 للتخفيف من مشكلة "الاكتظاظ" هذه. أول ما يلفت الانتباه عند المقارنة بين البروتوكولين هو مدى اتساع IPv6، حيث يوفر عناوين بطول 128 بت، أي أكبر بأربع مرات من نظيراتها في IPv4.

هذا التوسع يؤدي إلى وجود مجموعة ضخمة من العناوين المحتملة إلى حد يصعب تخيله. هذا الرقم هو 340 غير السداسي، ويُحسب كـ 3.4 × 10 للقوة 38 ويتم التعبير عنه رقميًا كـ 3.4 متبوعة بـ 38 صفرًا. من الصعب تخيُّل أن مجموعة بهذا الحجم قد تنتهي بالكامل يومًا ما. إلا إن مستوى استخدام أجهزة الكمبيوتر على مستوى العالم يجعل نموها غير المسبوق يستدعي مثل هذه الاستجابة الهائلة.

بالإضافة إلى توفير أربعة أضعاف مساحة العناوين مقارنةً بـ IPv4، يتضمن IPv6 ميزة التكوين التلقائي للعناوين دون حالة (SLAAC). تُتيح هذه الميزة للأجهزة تكوين عناوين IP الخاصة بها دون الاعتماد على خادم DHCP خارجي، ما يقلل أيضًا من حركة مرور الشبكة.

يستخدم IPv6 أيضًا نوعًا محسَّنًا من سجلات DNS يربط اسم النطاق بعنوان IPv6 مناسب. يُسمَّى سجل DNS هذا "AAAA"، ويمثِّل خطوة كبيرة إلى الأمام مقارنةً بـ "سجل A"، وهو سجل DNS الذي يحتوي على عنوان IPv4 مناسب. الفرق بين سجل AAAA (المعروف أحيانًا باسم Quad-A-Record) وسجل A يكمن أساسًا في زيادة السعة، بحيث يمكن لسجلات AAAA استيعاب المعرِّف الضخم المستخدَم والذي يبلغ طوله 128 بت.

إحدى الطرق التي يمكن من خلالها التفوق على سجلات A وAAAA هي إنشاء سجل CNAME (والذي يرمُز إلى الاسم القانوني). يُعَد سجل CNAME نوعًا من سجلات DNS يعمل كاسم مستعار لبعض النطاقات أو النطاقات الفرعية. من القيود البسيطة التي يجب ملاحظتها أن اسم المضيف المرتبط بسجل CNAME لا يمكنه تفعيل سجلات A أو AAAA التي تحمل الاسم نفسه مسبقًا.

لم يكن IPv6 هو البروتوكول الأساسي الوحيد الذي تم تحديثه مع مرور الوقت. بروتوكول أمن طبقة النقل (TLS) هو بروتوكول مشفَّر بدرجة عالية يحمي الاتصالات عبر الويب والشبكات الأخرى. يُعَد TLS ترقية لبروتوكول سابق يُسمَّى طبقة المقابس الآمنة (SSL) وقد تم تقديمه عام 1999. مثل SSL، يوفر TLS وسيلة للتحقق من هوية المستخدمين، ومنع الوصول غير المصرح به، والحفاظ على سلامة البيانات والتحقق منها.