نظام أسماء النطاقات (DNS): ساحة لمعركة خفية في الأمن السيبراني

من الخطأ اعتبار الـ DNS كخدمة تقنية ثانوية، فكل عملية اتصال على الانترنت تمر عبر نظام أسماء النطاقات (DNS)، مما يجعله نقطة مركزية للمراقبة والهجوم على حد سواء.

2 مشاهدة
6 دقائق
نظام أسماء النطاقات
نظام أسماء النطاقات

من السهل أن ننظر إلى DNS كخدمة تقنية ثانوية، مجرد “دفتر هاتف للانترنت” يحوّل أسماء النطاقات إلى عناوين IP. لكن الواقع مختلف تماماً. كل عملية اتصال على الانترنت تمر عبر نظام أسماء النطاقات (DNS)، مما يجعله نقطة مركزية للمراقبة والهجوم على حد سواء. التقرير الأخير من شركة Infoblox بعنوان 2025 DNS Threat Landscape Report يكشف حجم المخاطر المرتبطة بهذه البنية التحتية الأساسية. وإذا كان هناك درس واحد يمكن الخروج به من التقرير فهو أن الـ (DNS) لم يعد مجرد خدمة داعمة، بل صار جبهة حرب سيبرانية أساسية.

النطاقات قصيرة العمر  (Short-lived domains): سلاح الفوضى

خلال عام واحد فقط، تم اكتشاف أكثر من 100.8 مليون نطاق جديد. كثير من هذه النطاقات يُنشأ لغايات شرعية مثل الحملات التسويقية أو المشاريع المؤقتة، لكن الحقيقة المقلقة أن:

  • 25.1% من هذه النطاقات كانت خبيثة أو مشبوهة.
  • 95% ظهرت في بيئة واحدة فقط، مما يعني أنها نُشرت بسرعة لغرض محدد ثم أُهملت أو أُلغيت.

هذه الاستراتيجية أشبه باستخدام هواتف ذات استخدام مؤقت (Burner phones) في عالم الجريمة، نطاقات تُستخدم لهجوم واحد أو لحملة قصيرة، ثم تختفي، فلا تترك وراءها أثراً يُسهل على فرق التحقيقات تتبّعها.

أنظمة توزيع المرور (TDS): عندما تتحول الإعلانات إلى تهديد

ربما كان أكبر تحول خلال 2025 هو أن المهاجمين استعاروا فكرة شبكات الإعلانات الرقمية (AdTech) واستخدموها كسلاح.

  • 82% من المؤسسات التي خضعت للرصد وصلت إلى نطاقات مرتبطة بـ TDS خبيث.
  • بعض هذه الأنظمة تدير آلاف أو حتى مئات الآلاف من النطاقات، يتم تبديلها بشكل مستمر.
  • خلال عام واحد، تم اكتشاف أكثر من مليون نطاق تديره 168 جهة إجرامية في هذا المجال.

كيف Jعمل ؟
يزور الضحية موقعاً يبدو عادياً، مثل مدونة ووردبريس مخترَقة. يقرر النظام، بناءً على موقع الضحية أو نوع جهازه، ما إذا كان سيعرض له محتوى شرعياً أو يحوّله إلى صفحة تصيّد أو برنامج خبيث. لذلك فإن مسؤولي الأمن قد يرون صفحة عادية، بينما المستخدم العادي يواجه الهجوم الفعلي. بمعنى آخر، المهاجمون لا يستهدفون الجميع، بل يختارون ضحاياهم بعناية، ويخفون آثارهم عن محترفي الأمن والدفاع.

اختطاف النطاقات: استغلال الثقة بدل بنائها

تُبنى الثقة على الانترنت ببطء شديد، لكن المهاجمين وجدوا طرقاً لسرقتها بسرعة.

هجمات (Sitting Ducks)

تُترك عشرات الآلاف من النطاقات عرضة للاستغلال بسبب سجلات DNS غير مُدارة. في 2024، اكتشفت Infoblox أن أكثر من 70 ألف نطاق مخترق من أصل 800 ألف نطاق مهدّد.

CNAMEs المهملة

حتى مؤسسات مرموقة مثل cdc.gov والجامعات الأمريكية تعرضت للاستغلال بسبب ترك سجلات CNAME تشير إلى خدمات سحابية أُوقفت لكن لم تُحذف. لذلك، فالمهاجم ببساطة يعيد نشر خدمة على نفس البنية ويستفيد من السمعة الأصلية للنطاق. وبالنتيجة فإن مواقع خبيثة تتصدر نتائج البحث وكأنها شرعية 100%.

النطاقات الشبيهة: التصيّد يتنكر بطرق جديدة

مع وجود أكثر من 1500 نطاق عُلوي (TLD) اليوم، يستفل المهاجمون عملية تسجيل النطاقات كما نرى أدناه:

  • Homographs: استبدال أحرف بأخرى مشابهة (مثل الرقم 0 بدلاً من حرف O).
  • Typosquats: أخطاء إملائية مقصودة (amazonn بدل amazon).
  • Combosquats: إضافة كلمات (مثل amazon-support).
  • Soundsquats: أسماء تُنطق مثل العلامة الأصلية لخداع المساعدات الصوتية (مثل hsbsee بدل hsbc).

يؤكد التقرير أن Combosquats أكثر شيوعاً بـ 100 مرة من الأخطاء الإملائية. والأسوأ أن بعض المؤسسات نفسها لا تعرف إذا كان نطاق جديد مسجّل باسمها أم من قِبل مهاجم.

DNS Tunneling: القناة الخفية للهجوم

ما يزال النفق (Tunneling) عبر نظام أسماء النطاقات (DNS) وسيلة فعّالة لإخفاء الاتصالات بين برامج خبيثة ومخدمات التحكم (C2).

  • تم رصد أكثر من 100 نطاق مرتبط بالـ (Tunneling) شهرياً.
  • الأدوات المستخدمة تشمل كل شيء من Cobalt Strike (شائع بين فرق الاختبار والمهاجمين على حد سواء) إلى أدوات متقدمة مثل Sliver وPupy.

المشكلة هنا، أن نفس التقنيات تُستخدم في الاختبارات الأمنية المشروعة، ما يجعل التمييز بين “هجوم” و“تجربة أمان” بالغ الصعوبة.

الذكاء الاصطناعي: قوة للمهاجمين

إذا كان 2024 عام الضجة الإعلامية حول الذكاء الاصطناعي، فإن 2025 هو عام تسليحه (تحويله لسلاح بيد مجرمي الانترنت) بشكل جدي.

  • Deepfakes: المهاجم المعروف بـ “Reckless Rabbit” استخدم فيديوهات مزيفة لوجوه شخصيات معروفة (Elon Musk وMasayoshi Son) للترويج لاستثمارات وهمية.
  • Chatbots مدعومة بالذكاء الاصطناعي: رسائل احتيالية تتحول إلى محادثات طبيعية تمتد لأسابيع، تكسب ثقة الضحية خطوة بخطوة حتى تسرق بياناته أو أمواله.
  • إخفاء البرمجيات الخبيثة: تقارير أشارت إلى أن 88% من البرمجيات المولّدة بالذكاء الاصطناعي استطاعت تجاوز أنظمة الكشف.

وهنا تظهر قيمة نظام أسماء النطاقات (DNS)، فهو أحد المصادر القليلة التي يصعب على الذكاء الاصطناعي تزويرها.

التحديات أمام المدافعين

يوضح التقرير أن فرق الأمن السيبراني تواجه اليوم مزيجاً معقداً من:

  • ضغوط الامتثال التنظيمي (مثل NIS2 الأوروبي وNIST 800-81 الأمريكي).
  • نقص الموارد البشرية في فرق SOC.
  • أدوات متفرقة بين بيئات سحابية ومحلية، ما يخلق ثغرات في الرؤية والسياسات.
  • قيود الميزانية التي تجعل الاستثمار في مراقبة DNS أمراً يصعب تبريره أحياناً.

حلول مقترحة

  • الاعتماد على DNS كطبقة إنذار مبكر.
  • تفعيل نظام أسماء النطاقات (DNS) وقائية تستند إلى الذكاء الاصطناعي والتحليلات الفورية.
  • تعاون فرق الأمن مع فرق التسويق والعلامة التجارية لمراقبة النطاقات الشبيهة وحماية السمعة.

كلمة أخيرة

ما يثبته تقرير 2025 هو أن الحرب السيبرانية لم تعد تدور فقط في الجبهات التقليدية مثل الجدران النارية أو حلول EDR. بل هي تدور في عمق البنية الأساسية للإنترنت: في استعلامات نظام أسماء النطاقات (DNS). من هذه الاستعلامات يبدأ الهجوم — ومن خلالها أيضاً يمكننا منعه. وبالتالي، إذا أردنا بناء دفاعات أكثر ذكاءً في عصر الذكاء الاصطناعي والخداع المتطور، فعلينا أن نعيد النظر في DNS ليس كـ “خدمة تقنية” فقط، بل كـ خط الدفاع الأول في الأمن السيبراني.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *