شرح DNS المشفّر: ما الذي يخفيه DoH وDoT فعلاً — ولماذا يهم DNS شبكة VPN الخاصة بك

شرح DNS المشفّر: ما الذي يخفيه DoH وDoT فعلاً — ولماذا يهم DNS شبكة VPN الخاصة بك
في كل مرة تزور فيها موقعًا إلكترونيًا، يُجري جهازك بحثًا هادئًا لا يفكّر فيه معظم الناس: يسأل «ما هو عنوان IP لهذا اسم النطاق؟» هذا هو DNS — دفتر هاتف الإنترنت — وعلى مدى معظم تاريخ الويب، كان هذا السؤال وإجابته يسيران كنص عادي، يمكن لأي شخص بينك وبين خادم DNS قراءته. يُصلح DNS المشفّر ذلك. يشرح هذا الدليل كيف يعمل، وما الذي يحميه بالضبط، وما الذي يتركه مكشوفًا، وكيف يرتبط بشبكة VPN التي ربما تستخدمها بالفعل.
لماذا يُشكّل DNS النصّي مشكلة خصوصية
عندما تتصل بموقع عبر HTTPS، فإن محتوى جلستك مُشفّر. لكن عملية البحث DNS التي تحدث أولاً عادةً لا تكون كذلك. يمكن لمزوّد خدمة الإنترنت لديك — أو أي شخص على نفس الشبكة — مراقبة تلك البحثات وبناء قائمة كاملة بالنطاقات التي تزورها، حتى لو لم يتمكّن من قراءة الصفحات نفسها.
يتيح DNS النصّي ضررين متميزين. الأول هو المراقبة: يمكن لمزوّد خدمة الإنترنت لديك تسجيل سجلّ تصفّحك وحتى تحقيق الدخل منه عبر النطاقات التي تحلّها. والثاني هو التلاعب: بما أن الاستعلام غير مُوثّق، يمكن للشبكة إعادة توجيه البحثات أو حظرها — وهي الآلية الكامنة وراء الكثير من الرقابة المستندة إلى DNS وصفحات تسجيل الدخول المزيّفة التي تُعرض على شبكات Wi-Fi المعادية. يتصدّى DNS المشفّر للأمرين معًا بتغليف البحث في تشفير وحماية للنزاهة.
DoH مقابل DoT: طريقتان لتشفير البحث
هناك معياران شائعان، والفرق بينهما يتعلّق أساسًا بالمنفذ الذي يستخدمانه وبالتالي بمدى ظهورهما على الشبكة.
DNS over HTTPS (DoH) يرسل استعلامات DNS داخل حركة HTTPS العادية عبر المنفذ 443، موحّدًا في RFC 8484. لأنه يبدو مثل أي طلب ويب آخر، يصعب على الشبكة عزله وحظره — وهذا بالضبط هو السبب في تبنّيه من المتصفّحات. إنه الخيار الذي ستفعّله غالبًا في Firefox أو Chrome أو Edge.
DNS over TLS (DoT) يلفّ نفس الاستعلامات في TLS لكن عبر منفذ مخصّص 853. وهذا يجعله أنظف لإدارته على الشبكة — يمكن للمسؤولين رؤية حركة DoT والتحكّم فيها بشكل منفصل — لكنه أيضًا أسهل بالنسبة لشبكة تقييدية لحظره بالكامل. يكون DoT شائعًا على مستوى نظام التشغيل والموجّه (على سبيل المثال DNS الخاص في Android).
كلاهما يمنحك نفس الحماية الأساسية: الاستعلامات مُشفّرة أثناء النقل ومُوثّقة بحيث لا يمكن تغييرها بهدوء. يعطي DoH الأولوية للاندماج مع الحركة العادية؛ ويعطي DoT الأولوية لإدارة الشبكة بشكل أنظف. بالنسبة للفرد الذي يسعى للخصوصية، يكون DoH عادةً الخيار الأكثر مرونة.
ما الذي يخفيه DNS المشفّر فعلاً — وما الذي لا يخفيه
هنا تبرز أهميّة الصراحة، لأن DNS المشفّر غالبًا ما يُباع بأكثر من قيمته. إنه يحلّ مشكلة محدّدة بشكل جيّد ويترك مشاكل أخرى دون مساس.
ما الذي يخفيه:
محتوى استعلامات DNS الخاصة بك عن مزوّد خدمة الإنترنت وأي شخص آخر على شبكتك المحلية — لم يعودوا قادرين على قراءة النطاقات التي تحلّها.
نزاهة الإجابة — لا يمكن للشبكة إعادة توجيه بحثك بهدوء إلى وجهة ضارّة أو خاضعة للرقابة.
ما الذي لا يخفيه:
عنوان IP الوجهة. بعد البحث، لا يزال جهازك يتصل بذلك العنوان، ويرى مزوّد خدمة الإنترنت الاتصال. من عنوان IP معروف وحده، يمكنهم غالبًا استنتاج الموقع.
اسم الخادم في مصافحة TLS (SNI). ما لم يكن Encrypted Client Hello قيد الاستخدام، يظل النطاق الذي تتصل به مرئيًا في الحزمة الأولى من اتصال HTTPS نفسه — منفصلًا عن DNS.
استعلاماتك عن المحلّل. إن DNS المشفّر ينقل ثقتك، ولا يزيلها. من يدير المحلّل — سواء 1.1.1.1 من Cloudflare أو 8.8.8.8 من Google أو Quad9 أو مزوّد خدمة الإنترنت لديك — يرى الآن كل بحث. اختر محلّلًا يتبنّى سياسة خصوصية حقيقية.
البيانات الوصفية عمومًا. لا يزال التوقيت والحجم وأنماط الاتصال تسرّب معلومات حتى عندما تكون البحثات مُشفّرة.
يخفي DNS المشفّر من شبكتك المواقع التي تبحث عنها — لكن الاتصال الذي يلي ذلك لا يزال يكشف الكثير، والمحلّل الذي تختاره يرى كل شيء. إنه خط أساس، لا عباءة.
DNS المشفّر مقابل VPN: كلاهما يحلّ طبقات مختلفة
غالبًا ما يسأل الناس عما إذا كان DNS المشفّر يحلّ محلّ VPN. لا يفعل — فهما يعملان في نطاقات مختلفة، وفهم ذلك يتجنّب خطأ شائعًا.
يحمي DNS المشفّر استعلامات DNS فقط. أما VPN فيشفّر وينفذ كل حركتك — البحثات والاتصالات اللاحقة — إلى خادم VPN، بحيث يرى مزوّد خدمة الإنترنت نفقًا مُشفّرًا إلى مزوّدك فقط ولا يرى شيئًا عن الوجهات بداخله. كما أن VPN المُكوّن بشكل صحيح يتولّى DNS نيابةً عنك، موجّهًا تلك الاستعلامات عبر النفق إلى المحلّل الخاص بالمزوّد.
هذا التفصيل الأخير هو المكان الذي تسوء فيه الأمور. إذا كان متصفّحك أو نظام التشغيل لديك مُعدًّا لإرسال DoH إلى مزوّد مختلف بينما VPN نشط، يمكن لـDNS أن يتسرّب خارج النفق — وهو تسرّب DNS كلاسيكي يفضح استعلاماتك لمحلّل لم تقصده، مُضعفًا VPN. الحل هو السماح لـVPN بإدارة DNS، أو توجيه DNS المشفّر إلى المحلّل الخاص بـVPN، ثم التحقّق.
كيفية التحقّق وإعداده
اختبر التسرّبات أولاً. شغّل اختبار تسرّب DNS — بما في ذلك أدوات DNS المشفّر والتسرّب على هذا الموقع — لترى بالضبط أي محلّل يجيب عنك وما إذا كان هو الذي تتوقّعه. إذا كنت على VPN وترى محلّل مزوّد خدمة الإنترنت لديك، فلديك تسرّب.
فعّل DNS المشفّر بشكل مقصود. في Firefox أو Chrome أو Edge، فعّل DNS الآمن / DNS over HTTPS واختر محلّلًا موثوقًا. على Android، استخدم DNS الخاص (DoT)؛ على أنظمة Windows وApple الحديثة، يتوفّر DNS المشفّر على مستوى نظام التشغيل.
عند استخدام VPN، دعه يتولّى DNS. فضّل DNS المدمج في VPN لتبقى الاستعلامات داخل النفق، وأوقف إعداد DoH المتعارض في المتصفّح الذي سيُوجّهها لمكان آخر.
اختر محلّلك كأنه أمر مهم — لأنه كذلك. تنشر Cloudflare وGoogle وQuad9 سياسات خصوصية وتقدّم نُسخًا بتصفية؛ محلّل مزوّد خدمة الإنترنت لديك يقدّم عادةً أقلّ خصوصية. المحلّل يرى استعلاماتك، لذا الثقة هي القرار بأكمله.
الخلاصة
يُعدّ DNS المشفّر أحد أرخص ترقيات الخصوصية المتاحة: إنه يمنع مزوّد خدمة الإنترنت والشبكة المحلية من قراءة استعلاماتك والتلاعب بها، ويدعمه كل متصفّح ونظام تشغيل حديث. لكنه طبقة واحدة. لا يخفي الاتصالات اللاحقة، وينقل ثقتك إلى أي محلّل تختاره. ادمجه مع VPN مُكوّن بشكل جيد — يتولّى DNS الخاص بك لكيلا يتسرّب شيء — وستُغلق الفجوة التي تتركها كل أداة منفردة. كالعادة، لا تفترض أنه يعمل؛ اختبره وتأكّد.
الأسئلة الشائعة
ما الفرق بين DoH وDoT؟
كلاهما يشفّر استعلامات DNS، لكن DNS over HTTPS (DoH) يرسلها داخل حركة HTTPS العادية عبر المنفذ 443، مما يجعلها تندمج ويصعب حظرها، بينما DNS over TLS (DoT) يستخدم منفذًا مخصّصًا 853، وهو أنظف لإدارة الشبكات لكن أسهل في الحظر. تستخدم المتصفّحات عادةً DoH؛ بينما تستخدم أنظمة التشغيل والموجّهات غالبًا DoT، مثل DNS الخاص في Android.
هل يخفي DNS المشفّر تصفّحي عن مزوّد خدمة الإنترنت؟
جزئيًا. إنه يخفي محتوى استعلامات DNS بحيث لا يمكن لمزوّد خدمة الإنترنت قراءة النطاقات التي تحلّها، ويمنع التلاعب. لكنه لا يخفي عنوان IP الوجهة الذي تتصل به بعد ذلك، ولا اسم الخادم في مصافحة TLS ما لم يكن Encrypted Client Hello قيد الاستخدام. للحماية الأكثر شمولاً التي لا يمكن لمزوّد خدمة الإنترنت رؤيتها، تحتاج إلى VPN ينفذ كل حركة المرور.
هل ما زلت بحاجة إلى VPN إذا استخدمت DNS المشفّر؟
كلاهما يحلّ طبقات مختلفة. يحمي DNS المشفّر استعلامات DNS فقط؛ بينما يشفّر VPN وينفذ كل حركتك، بما في ذلك البحثات والاتصالات اللاحقة، ويخفي عنوان IP. DNS المشفّر خط أساس مفيد، لكنه لا يُغني عن VPN عندما تريد أن لا يرى مزوّد خدمة الإنترنت والشبكة المحلية شيئًا عن وجهاتك.
ما هو تسرّب DNS؟
يحدث تسرّب DNS عندما تسافر استعلامات DNS خارج نفق VPN — على سبيل المثال عندما يكون متصفّحك أو نظام التشغيل مُعدًّا لإرسال DNS over HTTPS إلى مزوّد مختلف بينما VPN نشط. النتيجة هي أن محلّلًا لم تقصده يرى استعلاماتك، مُضعفًا VPN. يمكنك اكتشافه باختبار تسرّب DNS وإصلاحه بالسماح لـVPN بإدارة DNS.
من يمكنه رؤية استعلامات DNS عندما أستخدم DNS المشفّر؟
المحلّل الذي تختاره — مثل 1.1.1.1 من Cloudflare أو 8.8.8.8 من Google أو Quad9 أو مزوّد خدمة الإنترنت لديك — لا يزال يرى كل بحث. إن DNS المشفّر ينقل ثقتك إلى ذلك المحلّل بدلًا من إزالتها، لذا من المهم اختيار محلّل يتبنّى سياسة خصوصية واضحة وتحترم الخصوصية. لكن شبكتك المحلية ومزوّد خدمة الإنترنت لم يعودا قادرين على قراءة الاستعلامات المشفّرة أثناء النقل.



