Namefi
العودة إلى جميع المصطلحات

DNS

النظام الهرمي للتسمية الذي يترجم أسماء النطاقات المقروءة بشريًا إلى عناوين IP التي تستخدمها الأجهزة لتوجيه حركة المرور عبر الإنترنت.

نُشر في ٣٠ يونيو ٢٠٢٥بقلم فريق Namefi
  • glossary

DNS (أو نظام أسماء النطاقات) هو نظام التسمية الموزع الهرمي للإنترنت، الذي يترجم أسماء النطاقات المقروءة بشريًا — كـexample.com — إلى عناوين IP التي تستخدمها معدات الشبكات لتوجيه الحزم عبر الإنترنت. لولا DNS، لاضطر كل مستخدم إلى حفظ العناوين الرقمية لكل موقع يريد زيارته. ويظل DNS — المعرَّف في RFC 1034 وRFC 1035 اللذين نشرهما IETF عام 1987 — أحد البروتوكولات الجوهرية للإنترنت حتى اليوم.

ما الذي يفعله DNS

يؤدي DNS عملية حل الأسماء: بمعنى أنه حين يُعطى اسم نطاق، يُعيد سجلات الموارد المرتبطة به — وأبرزها عنوان IP حتى يعرف المتصفح أو التطبيق أين يُرسل طلب الاتصال. كذلك يُستخدم النظام لتوجيه البريد الإلكتروني (سجلات MX)، والتحقق من ملكية النطاق (سجلات TXT)، وتفويض السلطة على منطقة ما إلى مجموعة معينة من الخوادم (سجلات NS).

لما كان DNS يُقرأ أكثر بكثير مما يُحدَّث، فهو مُحسَّن للقراءات السريعة المخبأة الموزعة على ملايين الخوادم حول العالم، لا للاتساق الفوري.

كيف يعمل استعلام DNS

حين تكتب example.com في متصفح، تبدأ عملية حل متعددة الخطوات:

  1. فحص الذاكرة المؤقتة المحلية. يفحص نظام التشغيل أولًا ذاكرته المؤقتة الخاصة بـ DNS. إن وُجدت إجابة صالحة حديثة، انتهى الاستعلام فورًا.

  2. المحلل المتكرر. إن لم تكن ثمة إجابة مخبأة، يُحال الاستعلام إلى محلل DNS — خادم يشغّله مزود خدمة الإنترنت أو شركة (كـ1.1.1.1 من Cloudflare أو 8.8.8.8 من Google)، أو مؤسستك. يتولى هذا المحلل البحث عن الإجابة نيابةً عنك؛ ويُسمى هذا النمط الحل المتكرر.

  3. خوادم الأسماء الجذرية. إن لم يجد المحلل إجابة مخبأة، يتصل بأحد التجمعات الـ 13 من خوادم أسماء المنطقة الجذرية (المرمّزة من a إلى m). لا يعرف الخادم الجذري الإجابة النهائية، لكنه يردّ بإحالة إلى خوادم الأسماء المسؤولة عن نطاق المستوى الأعلى (TLD) ذي الصلة، كـ.com أو .org. وتنشر IANA قاعدة بيانات المنطقة الجذرية وتصونها.

  4. خوادم أسماء TLD. يستعلم المحلل من خوادم أسماء TLD، فتردّ بإحالة إلى خوادم الأسماء الموثوقة للنطاق المحدد (example.com).

  5. خوادم الأسماء الموثوقة. يستعلم المحلل من خادم الأسماء الموثوق للنطاق، الذي يحتفظ بسجلات DNS الفعلية. يُعيد الخادم الموثوق سجل الموارد — مثلًا سجل A يحتوي على عنوان IPv4.

  6. الرد والتخبئة. يُعيد المحلل الإجابة إلى العميل ويخبّأها طوال المدة التي يحددها TTL (وقت البقاء) للسجل. تُخدَّم الاستعلامات اللاحقة لنفس الاسم ضمن نافذة TTL من الذاكرة المؤقتة، مما يقلل زمن الاستجابة والضغط على الخوادم.

يُسمى هذا النمط — حيث يتولى المحلل العمل التكراري ويتحدث العميل مع خادم واحد فقط — الحل المتكرر. في المقابل، الحل التكراري هو حين يستعلم العميل بنفسه من كل مستوى في التسلسل الهرمي تباعًا؛ وهو نادر عمليًا لكنه الطريقة التي يجتاز بها المحلل داخليًا التسلسل الهرمي (RFC 1034 §5.3).

التسلسل الهرمي لـ DNS وأنواع السجلات الرئيسية

يُنظَّم DNS كشجرة مقلوبة. الجذر (.) في القمة؛ تحته نطاقات المستوى الأعلى (.com و.net و.io ورموز الدول كـ.de)؛ وتحت كل TLD نطاقات المستوى الثاني (example.com)؛ ويمكن أن تكون لها نطاقات فرعية متداخلة بعمق اعتباطي (mail.example.com).

يُسمى كل عقدة في هذه الشجرة منطقة، ويحتفظ خادم الأسماء الموثوق لكل منطقة بـسجلات موارد تلك المنطقة. أبرز أنواع سجلات DNS الشائعة:

السجلالغرضمثال على القيمة
Aيربط اسمًا بعنوان IPv493.184.216.34
AAAAيربط اسمًا بعنوان IPv62606:2800:21f:cb07::1
CNAMEيُعرِّف اسمًا ليكون بديلًا لاسم رئيسي آخرwww → example.com
MXيحدد خوادم البريد للنطاق مع أولوية10 mail.example.com
NSيُفوّض منطقة إلى مجموعة من خوادم الأسماءns1.example.com
TXTيخزن نصًا حرًا؛ يُستخدم لـ SPF وDKIM والتحقق من النطاق"v=spf1 include:…"
SOAبداية السلطة — بيانات وصفية عن المنطقة ذاتهاتوقيت التسلسل والتحديث وإعادة المحاولة

لا يمكن وضع سجلات CNAME عند قمة المنطقة (النطاق الجذعي example.com) لأن الـCNAME يجب أن يكون السجل الوحيد عند الاسم، في حين تستلزم القمة أيضًا سجلات NS وSOA. يتحايل كثير من مزودي DNS على ذلك بـ"تسطيح CNAME" الخاص بهم أو بأنواع سجلات شبه-قياسية من نوع ALIAS أو ANAME.

من يُدير DNS

تتوزع حوكمة DNS وتشغيله على عدة طبقات من الجهات:

  • ICANN / IANA. تُشرف المؤسسة الإنترنتية للأسماء والأرقام المخصصة على المنطقة الجذرية وتنسّق مساحة أسماء DNS العالمية. وتتولى IANA — بوصفها وظيفة تابعة لـ ICANN — صون قاعدة بيانات المنطقة الجذرية التي تُدرج جميع نطاقات TLD وخوادم أسمائها الموثوقة.

  • السجلات. تُشغّل كل سجل قاعدة البيانات الموثوقة لنطاق TLD محدد. مثلًا، تُشغّل Verisign نطاقَي .com و.net، وتُشغّل Public Interest Registry نطاق .org. وتنشر السجلات سجلات NS التي تُشير إلى خوادم أسماء كل نطاق وتصونها.

  • المُسجِّلون. المُسجِّل هو منظمة معتمدة من ICANN (أو السجل المعني) لبيع أسماء النطاقات للجمهور وتقديم بيانات التسجيل إلى السجل نيابةً عن العملاء.

  • المحللات المتكررة. يُشغّل محللات DNS مزودو خدمة الإنترنت وخدمات DNS العامة (Cloudflare وGoogle وQuad9) والمؤسسات وأجهزة التوجيه المنزلية. وهي تتولى عمليات البحث التكرارية الموصوفة أعلاه وتخبّأ النتائج للحد من زمن الاستجابة (Cloudflare Learning — ما هو DNS؟).

  • خوادم الأسماء الموثوقة. يستضيفها أصحاب النطاقات أو مزودو DNS التابعون لهم، وتحتفظ بملفات المناطق الفعلية وترد على استعلامات المحللات بإجابات قاطعة.

الأمان

صُمِّمت مواصفات DNS الأصلية للموثوقية والحجم، لا للأمان. وقد ظهرت بمرور الوقت ثغرات عديدة وآليات حماية مقابلة:

تسميم الذاكرة المؤقتة. يستطيع مهاجم يُدخل ردًا DNS مزيفًا في ذاكرة محلّل مؤقتة إعادة توجيه المستخدمين من مواقع شرعية إلى مواقع خبيثة دون علمهم. كشف هجوم Kaminsky (2008) عن هذا على نطاق واسع، مما أفضى إلى اعتماد أوسع لتعشية المنافذ وDNSSEC.

DNSSEC. تُضيف إضافات أمان DNS المعرَّفة في RFC 4033–4035 توقيعات تشفيرية على سجلات DNS. يستطيع محلّل يتحقق من توقيعات DNSSEC اكتشاف الردود المحرَّفة. يتنامى الاعتماد عليها لكن بشكل غير متساوٍ: اعتبارًا من 2024، يحمل نحو 90% من المنطقة الجذرية ونطاقات TLD الكبرى توقيعات، غير أن التحقق من طرف إلى طرف يستلزم توقيع جميع المناطق في السلسلة وتحقق المحللات من التوقيعات.

اختطاف DNS. يستطيع مهاجمون يخترقون حسابًا لدى مُسجِّل أو أنظمة سجل أو محلّل مزود خدمة إنترنت، إعادة توجيه ردود DNS على نطاق واسع. وتشمل الدفاعات: المصادقة متعددة العوامل على مستوى المُسجِّل، وأقفال السجل (حالة EPP serverTransferProhibited)، ورصد التغييرات غير المتوقعة في سجلات NS أو A.

DNS عبر HTTPS / DNS عبر TLS (DoH / DoT). تُشفِّر هذه البروتوكولات استعلامات DNS بين العملاء والمحللات، مما يمنع التنصت والتعديل أثناء العبور — وهي حماية تكميلية لـ DNSSEC الذي يُعالج سلامة البيانات لا الخصوصية.

DNS والنطاقات المُرمَّزة

تُدير بعض أنظمة النطاقات القائمة على البلوكتشين (مثل Ethereum Name Service) تعييناتها من الأسماء إلى العناوين بالكامل على السلسلة، مستقلةً عن التسلسل الهرمي التقليدي لـ DNS. في المقابل، تُصدر أنظمة أخرى رموزًا على السلسلة تُمثّل ملكية نطاق مسجَّل تقليديًا، حيث يستمر ملف منطقة DNS الأساسية في الاستضافة على خوادم أسماء قياسية. في الحالة الأخيرة، يعمل حل DNS عبر تدفق البحث العادي الموصوف أعلاه؛ إذ يُثبت سجل البلوكتشين الملكية دون أن يكون جزءًا من مسار الحل. النظامان — سجلات الملكية على السلسلة وDNS العالمي — طبقتان منفصلتان يمكن أن تتعايشا أو تتجسّرا عبر محللات بوابة.

المصادر: RFC 1034، RFC 1035، قاعدة بيانات المنطقة الجذرية لـ IANA، Cloudflare Learning — ما هو DNS؟، ICANN — ما هو DNS؟

الكلمات المفتاحية ذات الصلة

  • DNS
  • نظام أسماء النطاقات
  • حل الأسماء
  • استعلام DNS
  • سجلات DNS
  • خادم أسماء
  • محلل متكرر
  • DNSSEC
  • بنية تحتية للإنترنت

عن الكاتب/الكاتبة

فريق Namefi
فريق Namefi • Namefi
TwitterLinkedIn

يضم Namefi مهندسين ومصممين ومشغلين شغوفين بتطوير أدوات تجعل إدارة أسماء النطاقات على السلسلة أكثر سهولة وسلاسة.