- بواسطة x32x01 ||
تخيل كده إنك بتكتب في المتصفح 
هو ده اللي بيحصل لما الـ DNS بيتلعب بيه.
الـ DNS هو اللي بيحوّل اسم الموقع اللي بتكتبه (زي
ببساطة كده، الـ DNS هو الواسطة اللي بتخلي الإنترنت كله يشتغل من غير ما تحس بيه.
بس لو حد لعب في الواسطة دي؟
ساعتها ممكن تلاقي نفسك بتدخل على مواقع مزيفة، يسرقوا بياناتك، الباسورد، وحتى الكريدت كارد بتاعتك.
يعني إيه DNS أصلاً؟
خلينا نبسّطها كده:
جهازك ما بيفهمش الأسماء، بيفهم أرقام الـ IP.
فانت لما تكتب مثلًا:
الـ DNS يترجم الاسم ده لـ IP زي:
وساعتها الجهاز يقدر يوصل فعلاً للموقع.
بس لو الهكر لعب في الترجمة دي؟
هيوجهك على موقع تاني خالص يشبه الأصلي تمامًا، وهتدخل بياناتك وانت فاكر إنك في الأمان.
أشهر الهجمات اللي بتحصل على الـ DNS
المهاجمين عندهم أفكار كتير يستغلوا بيها الـ DNS، ودي أشهرها 
1. DNS Spoofing / Cache Poisoning
الهاكر بيحقن بيانات مزيفة في الكاش بتاع السيرفر.
يعني أول ما المستخدم يطلب موقع، يروح على موقع مزيف شكله شبه الأصلي.
مثال بسيط:
بدل ما يفتح
2. DNS Tunneling
دي طريقة الهكر بيستغل فيها استفسارات الـ DNS عشان يمرر بيانات خبيثة (malicious data) جوه الترافيك.
يعني بدل ما يظهر في الفايروول، يخبي الترافيك جوه DNS Queries.
3. DNS Hijacking
الهاكر هنا يسيطر على سيرفر الـ DNS نفسه، ويبدأ يوجّه كل الترافيك زي ما هو عايز.
النتيجة؟ كل الأجهزة تروح لمواقع مزيفة أو خبيثة.
4. NXDOMAIN Attack
المهاجم بيغرق سيرفر الـ DNS بطلبات على دومينات مش موجودة أصلًا.
وده بيستهلك موارد السيرفر ويخليه يقع (نوع من أنواع الـ DoS).
طيب نعمل إيه علشان نحمي نفسنا؟
مفيش حماية 100%، بس فيه شوية خطوات عملية تخلي أمان الـ DNS عندك في مستوى قوي جدًا 
فعل DNSSEC
الـ DNSSEC بيضيف توقيع رقمي على ردود الـ DNS،
يعني الجهاز بيتأكد إن الرد جاي فعلاً من المصدر الموثوق ومش متبدل في النص.
فلتر طلبات الـ DNS
من أكبر الأخطاء إن الأجهزة في الشبكة تتكلم مع Public DNS (زي 8.8.8.8) مباشرة.
لازم تمنع ده، وتخلي كل الترافيك يمر من خلال السيرفر الداخلي اللي أنت بتتحكم فيه.
اربط DNS بخدمات Threat Intelligence
خدمات الـ Threat Intelligence بتعرف المواقع الخبيثة قبل ما توصلها.
زي مثلًا Cisco Umbrella أو Quad9، بتفلتر أي دومين مشبوه أو معروف إنه بيستضيف Malware.
راقب الـ DNS Logs
الـ DNS Logs ممكن تبقى كنز فعلاً في اكتشاف الهجمات!
لو في دومين غريب أو طلبات متكررة بشكل مش طبيعي - احتمال كبير فيه اختراق شغال.
استخدم Split DNS
Split DNS معناه إنك تفصل الدومينات الداخلية عن الخارجية.
يعني خدمات الشركة الداخلية (زي ERP أو الـ Email Server) لازم تشتغل على Internal DNS بس.
النتيجة؟
الردود كلها هتبقى موثوقة لأنك مفعل DNSSEC.
المواقع الخبيثة هتتمنع تلقائي لأنك رابط Threat Intelligence.
الترافيك كله هيبقى مشفر بسبب DNS over HTTPS.
وأي نشاط غريب هيتعرف فورًا من اللوجز.
خلاصة الكلام
لو عايز تحمي شبكتك من كوارث الـ DNS:
www.bank.com علشان تدخل على موقع البنك، بس فجأة تلاقي نفسك على موقع تاني شبهه بالظبط! هو ده اللي بيحصل لما الـ DNS بيتلعب بيه.
الـ DNS هو اللي بيحوّل اسم الموقع اللي بتكتبه (زي
www.google.com) لرقم IP الجهاز يقدر يفهمه ويتصل بيه.ببساطة كده، الـ DNS هو الواسطة اللي بتخلي الإنترنت كله يشتغل من غير ما تحس بيه.
بس لو حد لعب في الواسطة دي؟
ساعتها ممكن تلاقي نفسك بتدخل على مواقع مزيفة، يسرقوا بياناتك، الباسورد، وحتى الكريدت كارد بتاعتك.
يعني إيه DNS أصلاً؟ 
خلينا نبسّطها كده:جهازك ما بيفهمش الأسماء، بيفهم أرقام الـ IP.
فانت لما تكتب مثلًا:
www.google.comالـ DNS يترجم الاسم ده لـ IP زي:
172.217.17.36وساعتها الجهاز يقدر يوصل فعلاً للموقع.
بس لو الهكر لعب في الترجمة دي؟
هيوجهك على موقع تاني خالص يشبه الأصلي تمامًا، وهتدخل بياناتك وانت فاكر إنك في الأمان.
أشهر الهجمات اللي بتحصل على الـ DNS 
المهاجمين عندهم أفكار كتير يستغلوا بيها الـ DNS، ودي أشهرها 1. DNS Spoofing / Cache Poisoning 
الهاكر بيحقن بيانات مزيفة في الكاش بتاع السيرفر.يعني أول ما المستخدم يطلب موقع، يروح على موقع مزيف شكله شبه الأصلي.
مثال بسيط:
بدل ما يفتح
facebook.com الحقيقي، يفتح موقع مزور اسمه faceb00k.com 2. DNS Tunneling 
دي طريقة الهكر بيستغل فيها استفسارات الـ DNS عشان يمرر بيانات خبيثة (malicious data) جوه الترافيك.يعني بدل ما يظهر في الفايروول، يخبي الترافيك جوه DNS Queries.
3. DNS Hijacking 
الهاكر هنا يسيطر على سيرفر الـ DNS نفسه، ويبدأ يوجّه كل الترافيك زي ما هو عايز.النتيجة؟ كل الأجهزة تروح لمواقع مزيفة أو خبيثة.
4. NXDOMAIN Attack 
المهاجم بيغرق سيرفر الـ DNS بطلبات على دومينات مش موجودة أصلًا.وده بيستهلك موارد السيرفر ويخليه يقع (نوع من أنواع الـ DoS).
طيب نعمل إيه علشان نحمي نفسنا؟ 
مفيش حماية 100%، بس فيه شوية خطوات عملية تخلي أمان الـ DNS عندك في مستوى قوي جدًا فعل DNSSEC 
الـ DNSSEC بيضيف توقيع رقمي على ردود الـ DNS،يعني الجهاز بيتأكد إن الرد جاي فعلاً من المصدر الموثوق ومش متبدل في النص.
إزاي تفعلها؟
- لو عندك DNS Server داخلي (زي Bind أو Windows DNS)
روح للإعدادات وفعل خاصية DNSSEC. - لو بتستخدم خدمة DNS خارجية (زي Google DNS أو Cloudflare DNS)
تأكد إن DNSSEC مفعّل من صفحة الإعدادات الخاصة بيهم.
مثال في Bind (Linux):
Bash:
# تفعيل DNSSEC في BIND9
dnssec-enable yes;
dnssec-validation auto;فلتر طلبات الـ DNS 
من أكبر الأخطاء إن الأجهزة في الشبكة تتكلم مع Public DNS (زي 8.8.8.8) مباشرة.لازم تمنع ده، وتخلي كل الترافيك يمر من خلال السيرفر الداخلي اللي أنت بتتحكم فيه.
إزاي تعملها؟
- استخدم Firewall أو Proxy علشان تمنع أي اتصال مباشر لخوادم DNS عامة.
- فعل DNS over HTTPS (DoH) أو DNS over TLS (DoT) علشان ترافيك الـ DNS يبقى مشفر.
مثال على FortiGate CLI:
Bash:
config system dns
set dns-over-https enable
set primary 1.1.1.1
endاربط DNS بخدمات Threat Intelligence
خدمات الـ Threat Intelligence بتعرف المواقع الخبيثة قبل ما توصلها.زي مثلًا Cisco Umbrella أو Quad9، بتفلتر أي دومين مشبوه أو معروف إنه بيستضيف Malware.
الخطوات:
- ادخل على إعدادات الراوتر أو الـ DNS Server.
- غيّر الـ DNS لواحد من الخدمات دي مثلًا:
Cisco Umbrella: 208.67.222.222Quad9: 9.9.9.9
راقب الـ DNS Logs 
الـ DNS Logs ممكن تبقى كنز فعلاً في اكتشاف الهجمات!لو في دومين غريب أو طلبات متكررة بشكل مش طبيعي - احتمال كبير فيه اختراق شغال.
إزاي تتابع؟
- اربط الـ DNS Logs مع نظام SIEM زي Splunk أو QRadar.
- فعّل تنبيهات لأي IP أو دومين مشبوه.
مثال بسيط بلغة Python لتحليل DNS Logs:
Python:
# كود بسيط يرصد دومينات غريبة في اللوج
with open("dns_logs.txt") as file:
for line in file:
if ".xyz" in line or ".top" in line:
print("[ALERT] Suspicious domain:", line.strip())استخدم Split DNS 
Split DNS معناه إنك تفصل الدومينات الداخلية عن الخارجية.يعني خدمات الشركة الداخلية (زي ERP أو الـ Email Server) لازم تشتغل على Internal DNS بس.
الطريقة:
- جهز DNS داخلي للخدمات الداخلية.
- وDNS خارجي بس لحل الأسماء العامة.
النتيجة؟
الردود كلها هتبقى موثوقة لأنك مفعل DNSSEC. المواقع الخبيثة هتتمنع تلقائي لأنك رابط Threat Intelligence. الترافيك كله هيبقى مشفر بسبب DNS over HTTPS. وأي نشاط غريب هيتعرف فورًا من اللوجز.خلاصة الكلام 
لو عايز تحمي شبكتك من كوارث الـ DNS:- فعّل DNSSEC فورًا.
- امنع أي اتصال مباشر بـ Public DNS.
- استخدم DoH/DoT لتشفير الترافيك.
- اربط Threat Intelligence مع الـ DNS.
- راقب الـ DNS Logs على طول.
- استخدم Split DNS للفصل بين الداخلي والخارجي.
التعديل الأخير: