تاريخ النشر: 19 أبريل 2024
المساهمون: Chrystal R. China, Michael Goodwin
نظام أسماء النطاقات (DNS) هو أحد مكونات بروتوكول الإنترنت القياسي المسؤول عن تحويل أسماء النطاقات المفهومة للإنسان إلى عناوين بروتوكول الإنترنت (IP) التي تستخدمها أجهزة الكمبيوتر للتعرف على بعضها البعض على الشبكة.
غالبًا ما يُطلق عليه "دليل الهاتف للإنترنت"، وهناك تشبيه أكثر حداثة هو أن نظام أسماء النطاقات (DNS) يدير أسماء النطاقات بنفس الطريقة التي تدير بها الهواتف الذكية جهات الاتصال. تلغي الهواتف الذكية حاجة المستخدمين إلى تذكّر أرقام الهواتف الفردية من خلال تخزينها في قوائم جهات اتصال يمكن البحث فيها بسهولة.
وبالمثل، يتيح نظام أسماء النطاقات DNS للمستخدمين الاتصال بالمواقع الإلكترونية باستخدام أسماء نطاقات الإنترنت بدلاً من عناوين IP. فبدلاً من الاضطرار إلى تذكر أن خادم الويب موجود على "93.184.216.34"، على سبيل المثال، يمكن للمستخدمين ببساطة الانتقال إلى صفحة الويب "www.example.com" للحصول على النتائج المرجوة.
اقرأ كيف يمكن سطح المكتب كخدمة (DaaS) المؤسسات من تحقيق نفس مستوى الأداء والأمان مثل نشر التطبيقات محليًا.
قبل نظام أسماء النطاقات، كان الإنترنت عبارة عن شبكة متنامية من أجهزة الكمبيوتر التي تستخدمها المؤسسات الأكاديمية والبحثية في المقام الأول. قام المطورون يدويًا بتعيين أسماء المضيفين يدويًا إلى عناوين IP باستخدام ملف نصي بسيط يسمى HOSTS.TXT. احتفظت SRI International بهذه الملفات النصية ووزعتها على جميع أجهزة الكمبيوتر على الإنترنت. ومع ذلك، مع توسع الشبكة، أصبح هذا النهج غير مقبول بشكل متزايد.
وللتغلب على قيود نظام HOSTS.TXT وإنشاء نظام أكثر قابلية للتوسع، اخترع عالم الكمبيوتر بجامعة جنوب كاليفورنيا Paul Mockapetris نظام أسماء النطاقات في عام 1983. وقد ساعدت مجموعة من رواد الإنترنت في إنشاء نظام أسماء النطاقات (DNS) وألفوا أول طلب للتعليقات (RFCs) التي فصّلت مواصفات النظام الجديد، RFC 882 وRFC 883. حلت RFC 1034 وRFC 1035 لاحقًا محل RFCs السابقة.
في نهاية المطاف، ومع توسع نظام أسماء النطاقات (DNS)، أصبحت إدارة نظام أسماء النطاقات من مسؤولية هيئة أرقام الإنترنت المخصصة (IANA)، قبل أن تصبح في نهاية المطاف تحت سيطرة هيئة الإنترنت للأسماء والأرقام المخصصة (ICANN) غير الربحية في عام 1998.
سجِّل للحصول على دليل السحابة الهجينة
منذ البداية، صمم المطورون نظام أسماء النطاقات ببنية قاعدة بيانات هرمية وموزعة لتسهيل اتباع نهج أكثر ديناميكية في حل أسماء النطاقات، وهو نهج يمكنه مواكبة شبكة أجهزة الكمبيوتر التي تتوسع بسرعة. يبدأ التسلسل الهرمي بالمستوى الجذر، الذي يُشار إليه بنقطة (.)، ويتفرع إلى نطاقات المستوى الأعلى (TLDs) - مثل ".com" أو ".org" أو ".net" أو نطاقات المستوى الأعلى لرموز البلدان (ccTLDs) مثل ".uk" و ".jp" —ونطاقات المستوى الثاني.
تتكون بنية نظام أسماء النطاقات (DNS) من نوعين من خوادم DNS، الخوادم العَودية والخوادم الموثوقة. خوادم DNS العَودية هي التي تقوم بإجراء "الطلب"، وتبحث عن المعلومات التي تربط المستخدم بموقع ويب.
عادة ما تتم إدارة الخوادم العَودية —والمعروفة أيضًا باسم المحللات العَودية أو محللات DNS —بواسطة مزودي خدمة الإنترنت (ISPs) أو الشركات الكبيرة أو مزودي خدمات DNS الآخرين التابعين لجهات خارجية. وهي تعمل بالنيابة عن المستخدم النهائي لحل اسم النطاق لتحويله إلى عنوان IP. تقوم المحللات العَودية أيضًا بتخزين الإجابات على الطلب مؤقتًا لفترة معينة (محددة بقيمة مدة البقاء أو "TTL") لتحسين كفاءة النظام للاستعلامات المستقبلية لنفس النطاق.
عندما يكتب المستخدم عنوان ويب في متصفح الويب، يتصل المتصفح بخادم DNS عَودي لحل الطلب. إذا صادف أن الخادم العَودي لديه إجابة مخزنة مؤقتًا، يمكنه توصيل المستخدم وإكمال الطلب. وبخلاف ذلك، يستعلم المُحلل العَودي عن سلسلة من خوادم DNS الموثوقة للعثور على عنوان IP وتوصيل المستخدم بالموقع المطلوب.
توفر الخوادم الموثوقة "الإجابات". تحتفظ خوادم الأسماء الموثوقة بالسجلات النهائية للنطاق وتستجيب لطلبات تخزين أسماء النطاقات داخل مناطقها (عادةً مع إجابات تم تكوينها بواسطة مالك النطاق). هناك أنواع مختلفة من خوادم الأسماء الموثوقة، يخدم كل منها وظيفة محددة ضمن التسلسل الهرمي لنظام أسماء النطاقات.
تتضمن خوادم أسماء DNS الموثوقة ما يلي:
تقع خوادم أسماء الجذر في أعلى التسلسل الهرمي لنظام أسماء النطاقات وهي مسؤولة عن إدارة منطقة الجذر (قاعدة البيانات المركزية لنظام أسماء النطاقات). فهي تجيب على الاستعلامات عن السجلات التي تم تخزينها داخل منطقة الجذر وتحيل الطلبات إلى خادم أسماء نطاقات المستوى الأعلى (TLD) المناسب.
هناك 13 عنوان IP يُستخدم للاستعلام عن 13 شبكة خادم جذر مختلفة — مُعرّفة بالحروف من A إلى M — والتي تتعامل مع طلبات نطاقات المستوى الأعلى وتوجه الاستعلامات إلى خوادم أسماء نطاقات المستوى الأعلى المناسبة. تدير هيئة الإنترنت للأسماء والأرقام المخصصة (ICANN) شبكات الخوادم الجذر هذه.
تُعد خوادم أسماء نطاقات المستوى الأعلى (TLD) هي المسؤولة عن إدارة المستوى التالي من التسلسل الهرمي، بما في ذلك نطاقات المستوى الأعلى العامة (gTLDs). تقوم خوادم أسماء TLD بتوجيه الاستعلامات إلى خوادم الأسماء الموثوقة للنطاقات المحددة ضمن نطاق TLD الخاص بها. وبذلك فإن خادم أسماء نطاق المستوى الأعلى لـ ".com" سيوجه النطاقات التي تنتهي بـ ".com"، وخادم أسماء نطاق المستوى الأعلى لـ ".gov" سيوجه النطاقات التي تنتهي بـ ".gov"، وهكذا.
يحتفظ خادم اسم النطاق (يُشار إليه أحيانًا باسم خادم اسم النطاق من المستوى الثاني) بملف المنطقة الذي يحتوي على عنوان IP لاسم النطاق الكامل، مثل "ibm.com".
يتبع كل استعلام (يُطلق عليه أحيانًا طلب DNS) في نظام أسماء النطاقات نفس المنطق لحل عناوين IP. عندما يقوم المستخدم بإدخال عنوان URL، يقوم جهاز الكمبيوتر الخاص به بالاستعلام تدريجياً عن خوادم DNS لتحديد موقع المعلومات المناسبة وسجلات الموارد لتلبية طلب المستخدم. وتستمر العملية حتى يعثر نظلم أسماء النطاقات (DNS) على الإجابة الصحيحة من خادم نظام أسماء النطاقات الموثوق المرتبط بذلك النطاق.
وبشكل أكثر تحديدًا، يتضمن حل الاستعلام في نظام أسماء النطاقات (DNS) العديد من العناصر والعمليات الرئيسية.
يقوم المستخدم بإدخال اسم نطاق، مثل "ibm.com"، في المتصفح أو التطبيق، ويتم إرسال الطلب إلى محلل DNS العَودي. وعادةً ما يكون لجهاز المستخدم إعدادات DNS محددة مسبقًا، يوفرها موفر خدمة الإنترنت (ISP)، والتي تحدد المُحلل العَودي الذي يستعلم عنه العميل.
يتحقق المُحلل العَودي من ذاكرة التخزين المؤقت الخاصة به—التخزين المؤقت داخل متصفح الويب أو نظام التشغيل (مثل macOS أو Windows أو Linux) الذي يحتفظ بعمليات بحث DNS السابقة—للبحث عن عنوان IP المقابل للنطاق. إذا لم يكن لدى المُحلل العَودي بيانات بحث DNS في ذاكرة التخزين المؤقت الخاصة به، فإن المُحلل يبدأ عملية استردادها من خوادم DNS الموثوقة، بدءاً من الخادم الجذر. يستعلم المُحلل العَودي عن التسلسل الهرمي لنظام أسماء النطاقات حتى يعثر على عنوان IP النهائي.
يستعلم المُحلل العَودي عن خادم الاسم الجذر، والذي يستجيب بإصدار إحالة إلى خادم نطاق المستوى الأعلى (TLD) المناسب للنطاق محل الاستعلام (خادم اسم TLD المسؤول عن نطاقات ".com"، في هذه الحالة).
يستعلم المُحلل عن خادم أسماء نطاقات المستوى الأعلى (TLD) ".com"، والذي يستجيب مع العنوان الخاص بخادم الاسم الموثوق الخاص بنطاق "ibm.com". يشار إلى هذا الخادم أحياناً باسم خادم اسم النطاق من المستوى الثاني.
يستعلم المُحلِّل عن خادم اسم النطاق، الذي يبحث في ملف منطقة DNS ويستجيب بالسجل الصحيح لاسم النطاق المقدم.
يقوم المُحلل العَودي بتخزين سجل DNS مؤقتًا—لفترة زمنية محددة بواسطة مدة البقاء (TTL) الخاصة بالسجل—ويعيد عنوان IP إلى جهاز المستخدم. يمكن للمتصفح أو التطبيق بعد ذلك بدء الاتصال بالخادم المضيف على عنوان IP هذا للوصول إلى موقع الويب أو الخدمة المطلوبة.
بالإضافة إلى أنواع الخوادم الرئيسية، يستخدم نظام أسماء النطاقات ملفات المنطقة والعديد من أنواع السجلات للمساعدة في عملية الحل. ملفات المنطقة هي ملفات نصية تتضمن تعيينات ومعلومات حول نطاق داخل منطقة DNS.
يحدد كل سطر من ملف المنطقة سجلاً من موارد DNS (جزء واحد من المعلومات حول طبيعة نوع معين أو جزء من البيانات). تضمن سجلات الموارد أنه عندما يقوم المستخدم بإرسال استعلام، يمكن لنظام أسماء النطاقات DNS تحويل أسماء النطاقات بسرعة إلى معلومات قابلة للتنفيذ توجه المستخدمين إلى الخادم الصحيح.
تبدأ ملفات منطقة خوادم أسماء النطاقات بسجلين إلزاميين: مدة البقاء (TTL)—الذي يشير إلى كيفية تخزين السجلات في ذاكرة التخزين المؤقت المحلية لخوادم أسماء النطاقات—وبداية الصلاحية (سجل SOA)—الذي يحدد خادم الاسم الموثوق الأساسي لمنطقة خوادم أسماء النطاقات.
بعد السجلين الأساسيين، يمكن أن يحتوي ملف المنطقة على عدة أنواع أخرى من السجلات، بما في ذلك:
تُعيّن السجلات A إلى عناوين IPv4 وتعيّن سجلات AAAA إلى عناوين IPv6.
تحدد سجلات MX خادم البريد الإلكتروني SMTP لنطاق ما.
تعمل سجلات CNAME على إعادة توجيه أسماء المضيفين من اسم مستعار إلى نطاق آخر ("النطاق المتعارف عليه").
تشير سجلات NS إلى خادم الاسم الموثوق لنطاق ما.
تحدد سجلات PTR عملية بحث عكسي عن نظام أسماء النطاقات (DNS)، وتربط عناوين IP بأسماء النطاقات بشكل عكسي.
تشير سجلات TXT إلى سجل إطار عمل سياسة المرسل الخاص بمصادقة البريد الإلكتروني.
تتضمن عمليات بحث DNS عادةً ثلاثة أنواع من الاستعلامات. الاستعلامات العَودية، التي تربط بين الخادم العَودي وعميل DNS، إما أن تحل اسم النطاق بالكامل أو تعرض رسالة خطأ إلى المستخدم، لإعلامه بأنها غير قادرة على تحديد موقع النطاق.
الاستعلامات التكرارية (Iterative) - التي تربط المحللات العَودية (خادم DNS محلي) وخوادم DNS غير المحلية (مثل خوادم الجذر أو خوادم نطاقات المستوى الأعلى أو خوادم أسماء النطاقات)—لا تتطلب حل النطاق. بدلاً من ذلك، قد تستجيب الخوادم بالإحالة، حيث يقوم الخادم الجذر بإحالة المُحلِّل العَودي إلى نطاقات المستوى الأعلى (TLD)، والذي يحيل المُحلِّل إلى خادم موثوق يوفر الإجابة (إذا كانت الإجابة متاحة). لذلك، يتم حل الاستعلامات التكرارية إما بالإجابة أو الإحالة.
في حالة الاستعلامات غير العَودية، يعرف المحلل العَودي بالفعل تحديد مكان موقع إجابة الاستعلام، لذلك يتم حل هذه الاستعلامات دائمًا بإجابة. يوفر المُحلل الوقت إما عن طريق العثور على الإجابة المخزنة مؤقتاً على الخادم العَودي أو تخطي جذر DNS وخوادم أسماء نطاقات المستوى الأعلى TLD للانتقال مباشرةً إلى الخادم الموثوق المناسب. على سبيل المثال، إذا قدم المُحلل العَودي عنوان IP مخزنًا مؤقتًا في جلسة عمل سابقة، فإن الطلب سيُعتبر استعلامًا غير عَودي.
يتوفر للمؤسسات مجموعة من الخيارات عند استخدام نظام أسماء النطاقات DNS، بما في ذلك نظام أسماء النطاقات العام والخاص، أو مزيج من الاثنين. إن خوادم أسماء النطاقات العامة والخاصة شيئان مختلفان تمامًا؛ ولفهم كيفية استخدام خوادم أسماء النطاقات العامة والخاصة على أفضل وجه لتلبية الاحتياجات التنظيمية، من المهم فهم كيفية عمل كل نوع.
عادةً ما يشير نظام أسماء النطاقات العام إلى جانب المُحلِّل من نظام أسماء النطاقات، والخوادم العَودية المستخدمة للاستعلام عن خوادم الأسماء الموثوقة وربط المستخدمين بمواقع الويب.
وتُعد هذه الخوادم متاحة لأي مستخدم على الإنترنت وتقوم شركات مثل Cloudflare (1.1.1.1.1)، وQuad9 وOpenDNS بتوفيرها عادة مجاناً. تتم صيانة خوادم DNS العامة بواسطة المؤسسات التي تقوم بتشغيلها. لا يتحكم المستخدمون والعملاء في عملياتها أو سياساتها أو تكوينها.
يشير DNS الخاص بشكل عام إلى الجزء الموثوق من DNS. تقوم المؤسسات بإعداد خوادم DNS الخاصة داخل شبكة خاصة، وتعمل هذه الخوادم كخوادم DNS موثوقة، وتوفر البحث في DNS عن الموارد الداخلية. تتواجد خوادم DNS الخاصة خلف جدار حماية وتحتفظ فقط بسجلات المواقع الداخلية، لذلك يقتصر الوصول إليها على المستخدمين والأجهزة والشبكات المصرح لها.
على عكس تكوينات نظام أسماء النطاقات العام، يوفر نظام أسماء النطاقات الخاص مجموعة من أدوات التحكم في خوادم DNS الخاصة بهم، مما يسمح لهم بتخصيص سجلات DNS وتطبيق مخططات التسمية الداخلية وفرض سياسات أمنية محددة. وهذا يعني أيضاً أن المؤسسات هي المسؤولة عن صيانة البنية التحتية، سواء كانت مستضافة في مراكز البيانات المحلي أو من خلال الخدمات السحابية.
حلول DNS المُدارة تستعين بشكل أساسي بمصادر خارجية لإدارة الخادم وعملية التنسيق. مع النظام المُدار، يتولى مزود نظام أسماء النطاقات كل ما يتعلق بالتكوينات والصيانة وبروتوكولات الأمان لخوادم نظام أسماء النطاقات الخاصة بالمؤسسة، ويستخدم العميل البنية التحتية للمزود لإدارة أسماء النطاقات. في هذه الحالة، عندما يُدخل المستخدم عنوان URL الخاص بشركة ما، يُعاد توجيهه من خادم اسم نطاق الشركة إلى خوادم المزود التي تجلب كل الموارد والرد على المستخدم.
يمكن لنظام أسماء النطاقات المُدار أيضًا أن يوفر خدمات وميزات مثل نظام أسماء نطاقات مخصص، وموازنة أحمال الخادم العالمي، وضمانات مدة التشغيل، وبنية واجهة برمجة التطبيقات أولًا، ودعم DNSSEC، وشبكات البث العالمي، وأوقات الانتشار المتسارعة، وأدوات المراقبة والتحقق من السلامة، والحماية من هجمات حجب الخدمة الموزعة وغيرها.
معظم خوادم DNS الحديثة آمنة تمامًا، حتى في حالة خوادم DNS العامة. ومع ذلك، يمكن أن تظل أفضل أنظمة DNS عرضة لمشكلات الأمن الإلكتروني. تستهدف أنواع معينة من الهجمات الجانب الموثوق من نظام أسماء النطاقات (DNS) بينما تستهدف أنواع أخرى الجانب العَودي. تشمل هذه الهجمات ما يلي:
يحدث انتحال نظام أسماء النطاقات، الذي يُطلق عليه أيضًا تسميم ذاكرة التخزين المؤقت، عندما يقوم أحد المهاجمين بإدراج سجلات عناوين زائفة في ذاكرة التخزين المؤقت لمحلل DNS، مما يتسبب في قيام المحلل بعرض عنوان IP غير صحيح وإعادة توجيه المستخدمين إلى مواقع خبيثة. يمكن أن يؤدي الانتحال إلى اختراق البيانات الحساسة ويؤدي إلى هجمات التصيد الاحتيالي وتوزيع برنامج ضار.
تضخيم نظام أسماء النطاقات هو نوع من هجوم موزع لحجب الخدمة (DDoS) حيث يقوم المهاجم بإرسال استعلامات صغيرة إلى خادم DNS مع انتحال العنوان الذي يتم عرضه باستخدام عنوان IP الخاص بالضحية. تستغل هذه الهجمات طبيعة بروتوكولات نظام أسماء النطاقات عديمة الحالة وتستفيد من حقيقة أن استعلامًا صغيرًا يمكن أن يولد استجابة كبيرة الحجم.
وكأحد نتائج هجوم التضخيم، يستجيب خادم DNS بردود أكبر بكثير، مما يؤدي إلى تضخيم كمية حركة مرور البيانات الموجهة إلى المستخدم، مما يؤدي إلى إرباك موارده وإنهاكها. قد يؤدي ذلك إلى منع DNS من العمل وتعطيل التطبيق.
هجوم نفق نظام أسماء النطاقات (DNS) هو أسلوب يُستخدم لتجاوز تدابير الأمان عن طريق تغليف حركة البيانات غير المتعلقة بنظام أسماء النطاقات، مثل HTTP، ضمن استعلامات واستجابات نظام أسماء النطاقات. يمكن للمهاجمين استخدام أنفاق DNS لترحيل أوامر برنامج ضار أو لاستخراج البيانات من شبكة مخترقة، وغالبًا ما يتم ترميز الحمولة ضمن استعلامات واستجابات DNS لتجنب الكشف عنها.
يحدث اختطاف النطاق عندما يحصل المهاجم على وصول غير مصرح به إلى حساب مسجِّل النطاق ويغير تفاصيل تسجيل النطاق. يُمكِّن الاختطاف الجهات سيئة النية من إعادة توجيه حركة مرور البيانات إلى خوادم ضارة، واعتراض رسائل البريد الإلكتروني، والسيطرة على هوية المستخدم على الإنترنت.
تُعد إدخالات DNS المهملة للنطاقات الفرعية التي تشير إلى خدمات تم إيقاف تشغيلها أهدافًا رئيسية للمهاجمين. إذا تم إيقاف تشغيل إحدى الخدمات (مثل مضيف السحابة) ولكن إدخال DNS لا يزال موجودًا، يمكن للمهاجمين المطالبة بالنطاق الفرعي وإنشاء موقع أو خدمة ضارة في مكانه.
بغض النظر عن خدمات DNS التي تختارها المؤسسة، فمن الحكمة تنفيذ بروتوكولات الأمن لتقليل أسطح هجمات نظام أسماء النطاقات والتخفيف من المشاكل الأمنية المحتملة وتحسين نظام أسماء النطاقات في عمليات الشبكات. تتضمن بعض الممارسات المفيدة لتعزيز أمن DNS ما يلي:
يوفر ®IBM® NS1 Connect اتصالات سريعة وآمنة للمستخدمين في أي مكان في العالم مع نظام أسماء النطاقات المتميز وتوجيه حركة البيانات المتقدم والقابل للتخصيص. تتيح بنيته التي تعمل دائمًا والتي تعتمد على واجهة برمجة التطبيقات (API) في المقام الأول لفرق تقنية المعلومات لديك مراقبة الشبكات ونشر التغييرات وإجراء الصيانة الروتينية بكفاءة أكبر.
يمكنك تحديد التهيئات الخاطئة ومشكلات الأمن بسرعة من خلال تقارير مخصصة في الوقت الفعلي استنادًا إلى بيانات قابلية ملاحظة DNS من IBM NS1 Connect DNS Insight.
تقدم IBM Cloud DNS Services خدمات نظام أسماء النطاقات الموثوق العامة والخاصة مع وقت استجابة سريع وتكرار لا مثيل له وأمان متقدم—يُدار من خلال واجهة الويب IBM Cloud أو عن طريق واجهة برمجة التطبيقات.
بالنسبة إلى العديد من المؤسسات، لا تكفي خدمات DNS المجانية التي يقدمها مسجّلو النطاقات أو الأنظمة ذاتية الخدمة لتقديم الخدمات التي يحتاجها عملاؤهم.
إذا كنت تقوم بتسجيل الدخول باستخدام مزود Content Delivery Network (CDN)، فمن المحتمل أن ترى DNS كجزء من حزمة الخدمة القياسية. إنه خيار سهل—ولكن هل يوفر لك ما تحتاج إليه حقاً؟
هناك العديد من الأسباب التي تدفعك إلى الانتقال إلى منصة DNS مُدارة، ولكنها كلها تدور حول موضوع رئيسي.
لأي سبب من الأسباب —سواء كان السبب هو الوظيفة أو التكلفة أو الموثوقية أو الموارد— فإن معظم الشركات بطبيعة الحال تتوصل إلى الحاجة إلى الحصول على خدمة DNS مُدارة مقدمة من جهة خارجية
سجل نظام أسماء النطاقات (DNS) هو مجموعة من الإرشادات المستخدمة لربط أسماء النطاقات بعناوين بروتوكول الإنترنت (IP) داخل خوادم نظام أسماء النطاقات.
تترجم خوادم نظام أسماء النطاقات أسماء نطاقات مواقع الويب التي يبحث عنها المستخدمون في متصفحات الويب إلى عناوين IP رقمية مقابلة. تُعرف هذه العملية باسم حل نظام أسماء النطاقات (DNS).