مشكلة الثقة في جوهر الإنترنت
البروتوكولان الأكثر أساسية في الإنترنت — BGP (بروتوكول بوابة الحدود) وDNS (نظام أسماء النطاقات) — صُمما في حقبة كان فيها الشبكة مجتمعاً صغيراً موثوقاً من الباحثين. يعمل BGP، الذي يحدد كيفية توجيه حركة المرور بين أكثر من 80,000 نظام مستقل (AS) يشكلون الإنترنت، على نموذج الثقة المتبادلة: عندما يعلن نظام مستقل أنه يستطيع توجيه حركة المرور إلى كتلة عناوين IP معينة، تقبل الشبكات المجاورة هذا الإعلان دون تحقق. صُمم DNS بالمثل، الذي يترجم أسماء النطاقات إلى عناوين IP لكل زيارة موقع وإرسال بريد إلكتروني واستدعاء API على الإنترنت، بدون مصادقة — تُقبل استجابة DNS ببساطة لأنها وصلت.
هذه الثقة التأسيسية جعلت BGP وDNS أخطر أسطح الهجوم على الإنترنت. يمكن لاختطاف BGP الناجح إعادة توجيه كتل كاملة من حركة الإنترنت عبر شبكة المهاجم، مما يتيح المراقبة الجماعية وسرقة بيانات الاعتماد أو التلاعب بحركة المرور على نطاق واسع. يمكن لهجوم DNS إعادة توجيه المستخدمين إلى نسخ احتيالية من أي موقع ويب — بنوك ومزودو بريد إلكتروني وخدمات حكومية — والتقاط بيانات الاعتماد والبيانات الحساسة من ضحايا يرون العنوان الصحيح في متصفحهم. هذه ليست مخاطر نظرية: إنها مُثبتة وموثقة ومستمرة.
الرهانات وجودية. بخلاف الهجمات على مستوى التطبيقات التي تخترق أنظمة فردية، فإن الهجمات على مستوى البنية التحتية تخترق نسيج التوجيه والتسمية الذي يعتمد عليه كل خدمة إنترنت. يمكن لاختطاف BGP يطال مساحة IP لمزود سحابي كبير أن يُعطل ملايين الخدمات في وقت واحد. يمكن لاختراق DNS على مستوى المسجل أو السجل أن يعيد توجيه حركة الويب لبلد بأكمله. هذه الهجمات هي المعادل الرقمي لتحويل الطرق السريعة وتغيير لافتات الشوارع — تؤثر على كل من يستخدم الطريق.
اختطاف BGP: إعادة توجيه الإنترنت
وقع أشهر حادث BGP في 24 فبراير 2008 عندما أعلنت Pakistan Telecom (AS17557)، في محاولتها حجب YouTube محلياً، بالخطأ مسارات BGP لنطاق IP الخاص بـ YouTube 208.65.153.0/24 للإنترنت العالمي. نقل مزود الخدمة المنبع PCCW Global (AS3491) الإعلان عالمياً، وفي غضون دقائق أُعيد توجيه حركة YouTube إلى شبكة Pakistan Telecom وسقطت في ثقب أسود. استمر الانقطاع لأكثر من ساعتين قبل أن يتعافى YouTube بإعلان بادئات /25 أكثر تحديداً، مستغلاً قاعدة أطول بادئة في BGP. كان هذا الحادث عرضياً — عمليات اختطاف BGP المتعمدة أكثر تطوراً وأصعب في الكشف بكثير.
وُثقت عمليات التلاعب بـ BGP المدعومة حكومياً على نطاق واسع. وثّق الباحثان Chris Demchak من كلية الحرب البحرية الأمريكية وYuval Shavitt من جامعة تل أبيب أنماط استخدام China Telecom لنقاط تواجدها العشر في أمريكا الشمالية لإعادة توجيه حركة الإنترنت الأمريكية والكندية عبر البنية التحتية الشبكية الصينية، وهي نتائج أكدتها لاحقاً شعبة Internet Intelligence في Oracle. في 2019، شهد حادث منفصل تسرب أكثر من 70,000 مسار BGP عبر عقدة China Telecom في فرانكفورت، مما أعاد توجيه حركة الهاتف المحمول الأوروبية عبر الصين لمدة ساعتين. في أبريل 2018، أعاد اختطاف BGP صادر من eNET (AS10297) توجيه حركة المرور المتجهة إلى خدمة Route 53 DNS التابعة لـ Amazon، مما مكّن المهاجمين من سرقة ما يقارب 150,000 دولار من Ethereum من مستخدمي MyEtherWallet عبر تقديم استجابة DNS احتيالية من خلال المسار المختطف. كما وُثقت عمليات تلاعب روسية بـ BGP، بما في ذلك حادثة ديسمبر 2017 حيث أُعيد توجيه حركة المرور إلى Google وFacebook وApple وMicrosoft لفترة وجيزة عبر نظام مستقل روسي غامض.
الدفاع ضد اختطاف BGP هو RPKI (البنية التحتية للمفاتيح العامة للموارد)، وهو إطار تشفيري يسمح لمشغلي الشبكات بالتحقق من شرعية إعلانات مسارات BGP. باستخدام RPKI، يمكن لنظام مستقل إنشاء ROA (تفويض أصل المسار) يشهد تشفيرياً على أرقام AS المصرح لها بإعلان مساحة عناوين IP الخاصة به. يمكن للشبكات التي تتحقق من RPKI عندها رفض الإعلانات غير المصرح بها. بحلول أواخر 2025، بلغ اعتماد RPKI نحو 54% من مسارات IPv4 المُعلنة عالمياً، ارتفاعاً من نحو 14% في 2019 — زيادة ثلاثية في ست سنوات. نمت تغطية ROA بنسبة 23% في 2025 وحده، وثلاثة أرباع إجمالي حركة IP مُوجهة الآن إلى وجهات مؤمنة بـ RPKI. تتحقق شبكات كبرى بما فيها Cloudflare وGoogle وAT&T وNTT من RPKI، لكن الذيل الطويل من مزودي خدمة الإنترنت الأصغر والشبكات الإقليمية لا يزال غير محمي.
إعلان
هجمات DNS: من تسميم الذاكرة المؤقتة إلى اختراق السجل
تتراوح هجمات DNS من تسميم الذاكرة المؤقتة الانتهازي إلى حملات متطورة مدعومة حكومياً تستهدف البنية التحتية لنظام DNS ذاته. أظهر هجوم Kaminsky (2008) أن تسميم ذاكرة DNS المؤقتة — حقن سجلات مزورة في ذاكرات محللات DNS المؤقتة — كان أسهل بكثير مما كان يُعتقد سابقاً، مما أدى إلى تصحيحات طارئة على مستوى الصناعة. طُور DNSSEC (امتدادات أمان نظام أسماء النطاقات) كحل طويل الأمد، يُوقّع تشفيرياً سجلات DNS لمنع التلاعب. ومع ذلك، يظل نشر DNSSEC غير مكتمل: رغم أن معظم نطاقات المستوى الأعلى موقعة، فإن التحقق الشامل من DNSSEC يتطلب التوقيع على كل مستوى من تسلسل DNS الهرمي، ولا تزال نطاقات كثيرة غير موقعة.
مثّلت حملة Sea Turtle، التي وثقتها Cisco Talos في أبريل 2019، فئة جديدة من تهديدات DNS. بدلاً من مهاجمة محللات أو ذاكرات DNS المؤقتة، اخترقت Sea Turtle مسجلي النطاقات ومشغلي السجلات — بما فيها Netnod، أحد مزودي DNS الجذري في السويد، والمسجل الذي يدير نطاق المستوى الأعلى .am لأرمينيا — معدلةً سجلات DNS الموثوقة لمنظمات حكومية واستخباراتية وطاقوية مستهدفة. سمح هذا للمهاجمين بإعادة توجيه الضحايا إلى خوادم يتحكم فيها المهاجمون تعرض شهادات SSL صالحة (حُصل عليها من خلال اختراق DNS نفسه)، مما جعل إعادة التوجيه غير قابلة للكشف فعلياً من قبل المستخدمين. قيّمت Talos بثقة عالية أن هذه كانت عملية مدعومة حكومياً، اخترقت ما لا يقل عن 40 منظمة في 13 دولة بين يناير 2017 ومطلع 2019.
استهدفت حملة DNSpionage، وهي حملة مرتبطة وثّقتها Cisco Talos لأول مرة في نوفمبر 2018، بنية DNS التحتية في الشرق الأوسط بالمثل، مخترقةً في البداية نطاقات .gov في لبنان والإمارات وكذلك شركة طيران لبنانية خاصة. حددت فيما بعد فرق Mandiant التابعة لـ FireEye موجة أوسع طالت عشرات النطاقات التابعة لجهات حكومية واتصالاتية وبنية إنترنت تحتية عبر الشرق الأوسط وشمال أفريقيا وأوروبا وأمريكا الشمالية. أثبتت هذه الحملات أن مهاجمة بنية DNS التحتية — المسجلون والسجلات والخوادم الموثوقة — توفر نفوذاً لا يمكن أن تضاهيه اختراقات الأنظمة الفردية.
الدفاعات وفجوة الاعتماد
الدفاعات التقنية ضد الهجمات على مستوى البنية التحتية موجودة لكنها تواجه فجوة اعتماد مستمرة. يوفر RPKI لأمن BGP وDNSSEC لسلامة DNS وCertificate Transparency للتحقق من شهادات TLS وMANRS (المعايير المتفق عليها لأمن التوجيه) مجتمعةً إطار دفاع متيناً. المشكلة أن أمن الإنترنت تحدي عمل جماعي — أمن كل شبكة يعتمد على اعتماد كل شبكة أخرى لهذه الحمايات.
كانت Certificate Transparency (CT)، التي قدمتها Google في 2013 وأصبحت الآن إلزامية لجميع شهادات TLS المعتمدة عامياً، من أنجح مبادرات أمن البنية التحتية. تشترط CT على سلطات الشهادات تسجيل جميع الشهادات الصادرة في سجلات قابلة للتدقيق العام، مما يمكّن أصحاب النطاقات من اكتشاف الشهادات الصادرة بشكل احتيالي لنطاقاتهم.
مبادرة MANRS، التي أنشأتها جمعية الإنترنت أصلاً في 2014 وتديرها الآن Global Cyber Alliance منذ 2024، تروّج لأربعة إجراءات ملموسة لمشغلي الشبكات: التصفية (منع انتشار معلومات التوجيه الخاطئة)، ومكافحة الانتحال (منع حركة المرور ذات عناوين IP المصدرية المزورة)، والتنسيق (الحفاظ على معلومات اتصال محدثة للاستجابة للحوادث)، والتحقق العالمي (نشر بيانات التوجيه للتحقق الخارجي). التزم أكثر من 1,000 مشغل شبكة بـ MANRS بحلول أواخر 2025، مع مشاركة إجمالية تبلغ نحو 1,300 عبر جميع البرامج — لكن هذا يمثل جزءاً صغيراً من أكثر من 80,000 نظام مستقل على الإنترنت. بالنسبة لدول مثل الجزائر، حيث تمر البنية التحتية للإنترنت عبر عدد محدود من المشغلين (أساساً اتصالات الجزائر)، فإن الاعتماد الوطني لمعايير RPKI وDNSSEC وMANRS من قبل مزودي خدمة الإنترنت الرئيسيين سيوفر فائدة حماية فائقة لمنظومة الإنترنت المحلية بأكملها.
إعلان
🧭 رادار القرار (المنظور الجزائري)
| البُعد | التقييم |
|---|---|
| الصلة بالجزائر | مرتفع — حركة الإنترنت الجزائرية تمر عبر بنية تحتية محدودة؛ يمكن لهجمات BGP وDNS إعادة توجيه أو اعتراض حركة المرور الوطنية على نطاق واسع |
| البنية التحتية جاهزة؟ | جزئي — الدفاعات العالمية (RPKI وDNSSEC) موجودة لكنها تتطلب الاعتماد من قبل مشغلي الشبكات الجزائريين (أساساً اتصالات الجزائر) وسجل .dz (CERIST) |
| الكفاءات متوفرة؟ | لا — أمن BGP وDNS يتطلب خبرة متخصصة في هندسة الشبكات نادرة في الجزائر؛ المساعدة الدولية متاحة عبر RIPE NCC وAFRINIC |
| الجدول الزمني للعمل | 12-24 شهراً — نشر RPKI من قبل مزودي خدمة الإنترنت الجزائريين وتوقيع DNSSEC لمنطقة .dz قابلان للتحقيق ضمن هذا الإطار الزمني |
| أصحاب المصلحة الرئيسيون | اتصالات الجزائر، CERIST (سجل .dz)، ARPCE، RIPE NCC، AFRINIC، Internet Society |
| نوع القرار | استراتيجي |
خلاصة سريعة: أنظمة التوجيه والتسمية في الإنترنت بُنيت على ثقة لم تعد قائمة. يمكن لاختطاف BGP وهجمات DNS إعادة توجيه حركة مرور دول بأكملها. اعتماد RPKI من قبل مزودي خدمة الإنترنت الجزائريين وتوقيع DNSSEC لمنطقة .dz هما الخطوتان الأكثر تأثيراً اللتان يمكن للجزائر اتخاذهما لحماية بنيتها التحتية للإنترنت من هذه التهديدات على مستوى العمود الفقري.
المصادر والقراءات الإضافية
- Cisco Talos – Sea Turtle DNS Hijacking Campaign
- Cisco Talos – DNSpionage Campaign Targets Middle East
- RIPE NCC – YouTube Hijacking: A RIS Case Study
- Internet Society – Amazon Route 53 BGP Hijack Analysis
- APNIC Blog – RPKI’s 2025 Year in Review
- APNIC Blog – BGP in 2025
- MANRS – Mutually Agreed Norms for Routing Security
- Cloudflare – Is BGP Safe Yet?
- Google Certificate Transparency Project
- Kentik Blog – A Brief History of the Internet’s Biggest BGP Incidents
- FireEye/Mandiant – Global DNS Hijacking Campaign
- IEEE ComSoc – Oracle Confirms China Telecom Misdirected US Internet Traffic
إعلان