DNS المشفّر مقابل VPN — لماذا لن يُخفي DoH وDoT تصفّحك في 2026
اللغات المتاحة
إن قمت بتفعيل DNS المشفّر في متصفّحك أو نظام تشغيلك وافترضت أنّ مزوّد خدمة الإنترنت لم يعد قادراً على رؤية المواقع التي تزورها — فأنت لست الوحيد. هذا أحد أكثر مفاهيم الخصوصية الخاطئة شيوعاً في 2026.
في منتصف أبريل، نشر مدرّب الأمن David Bombal عرضاً عملياً انتشر على نطاق واسع: حتى مع تشغيل DNS-over-HTTPS (DoH)، وحتى مع تشفير TLS لكلّ اتصال، استطاع أن يحدّد بدقّة المواقع التي يزورها هدفه فقط بالاستماع إلى الشبكة. لم يُخفِ استعلام DNS المشفّر شيئاً مفيداً تقريباً.
إن كنت تعتمد على DoH أو DoT وحدهما لإخفاء تصفّحك، فهذا المقال موجّه إليك. لنفكّك ما يخفيه DNS المشفّر فعلاً، وما يُسرّبه، ولماذا تظلّ VPN هي الطريقة الموثوقة الوحيدة لإبعاد حركة بياناتك عن سجلّات مزوّد الإنترنت.
تذكير سريع: ما هو DNS؟
في كل مرة تكتب فيها example.com في متصفّحك، يطلب جهازك أوّلاً من محلّل DNS ترجمة هذا الاسم إلى عنوان IP مثل 93.184.216.34. بدون DNS، الإنترنت مجرّد دليل هاتفي مليء بأرقام لا يحفظها أحد.
لعقود، كانت استعلامات DNS تُرسل بنصّ صريح عبر منفذ UDP رقم 53 — دون أيّ تشفير. كان أيّ شخص يراقب شبكتك (مزوّد الإنترنت، مدير شبكة الواي‑فاي في المقهى، جهاز حكومي) قادراً على قراءة كلّ نطاق تستعلم عنه.
صُمّم DNS المشفّر لحلّ هذه المشكلة المحدّدة فقط.
ما هو DNS المشفّر؟
«DNS المشفّر» مظلّة تشمل ثلاثة بروتوكولات نقل حديثة:
| البروتوكول | الاسم الكامل | المنفذ | النقل |
|---|---|---|---|
| DoH | DNS over HTTPS | 443 | TCP/HTTPS |
| DoT | DNS over TLS | 853 | TCP/TLS |
| DoQ | DNS over QUIC | 853 | UDP/QUIC |
تغلّف هذه البروتوكولات الثلاثة استعلامات DNS داخل نفق مشفّر بين جهازك والمحلّل. مزوّدون كبار مثل Cloudflare (1.1.1.1) وGoogle (8.8.8.8) وQuad9 وNextDNS يدعمونها. تتيح معظم المتصفّحات الحديثة (Firefox, Chrome, Edge, Safari) وأنظمة التشغيل (Windows 11, macOS, iOS, Android) تفعيل DNS المشفّر بضغطات قليلة.
يحلّ DNS المشفّر مشكلة DNS النصّي. لا يحلّ المشكلة الأكبر للمراقبة على مستوى الشبكة.
ما يُخفيه DNS المشفّر فعلاً
لنُعطِ ما يستحقّه. عند تفعيل DoH أو DoT تصبح الأمور التالية غير مرئية لمزوّد الإنترنت أو لأيّ مراقب محلّي:
- استعلام DNS نفسه — لم يعد الاسم الحرفي
example.comيُرسل بنصّ صريح - استجابة DNS — عنوان IP الذي يعيده المحلّل مشفّر أيضاً
- اختطاف DNS أصعب — لم يعد بمقدور مزوّد الإنترنت تعديل الاستجابة لإعادة توجيهك إلى صفحة أخرى
إن كنت تعيش في منطقة فيها حجب قائم على DNS فقد يتجاوز DNS المشفّر أبسط أساليب الحجب أحياناً. فائدة حقيقية.
لكن المسألة هي: إخفاء استعلام DNS مجرّد جزء صغير من صورة الخصوصية كاملةً.
ما لا يُخفيه DNS المشفّر
هنا ينهار النموذج الذهنيّ لدى الجميع تقريباً. بعد أن يُحلّل جهازك example.com إلى 93.184.216.34، عليه الاتّصال فعلياً بهذا العنوان لتحميل الموقع. هذا الاتصال هو ما يهمّ مزوّد الإنترنت — وDNS المشفّر لا يفعل شيئاً لإخفائه.
ثلاث ثغرات كبرى لا تزال مفتوحة على مصراعيها:
1. عنوان IP الوجهة
كلّ حزمة ترسلها تحمل في رأسها عنوان IP الوجهة. تقرأ كلّ الموجّهات — بما فيها موجّهات مزوّدك — هذا العنوان لإعادة توجيه الحزمة. لا توجد طريقة لإخفائه عن المزوّد دون وضع طبقة شبكية أخرى فوقه (VPN أو Tor أو وكيل).
ما إن يرى مزوّدك أنّك تتّصل بكتلة IP لـ Netflix أو Google أو شبكة CDN معروفة لموقع محتوى للبالغين، حتى لا يحتاج إلى DNS ليعرف تقريباً إلى أين أنت ذاهب.
2. حقل SNI في TLS
عندما يفتح متصفّحك اتصال HTTPS، تحوي الرسالة الأولى — TLS ClientHello — حقلاً يُسمّى SNI (Server Name Indication). يخبر SNI الخادم أيّ موقع تطلبه، لأنّ عنوان IP واحداً غالباً ما يستضيف آلاف المواقع خلف CDN.
المشكلة؟ يُرسل SNI بنصّ صريح. رغم أن كلّ ما يأتي بعد المصافحة مشفّر، يطير اسم المضيف عبر السلك بالعراء. يقرأه مزوّدك بسهولة قراءة بطاقة بريدية.
هذا أكبر سبب لأن DNS المشفّر لا يُخفي تصفّحك حقّاً. كما قال Bombal في عرضه في أبريل: «مجرّد كون DNS مشفّراً لا يعني أن مزوّدك — أو شخصاً آخر يستمع إلى الشبكة — لا يستطيع رؤية الموقع الذي تذهب إليه.»
3. أنماط حركة البيانات وتوقيتها
حتى إن أُخفي النطاق بطريقة ما، فإن حجم وتوقيت وتواتر الحزم تُسرّب قدراً مفاجئاً من المعلومات. أثبت الباحثون أنه بمجرد بيانات وصفية للحزم، يستطيع مراقب التعرّف على فيديوهات يوتيوب بعينها، وتمييز خدمة البثّ المستخدمة، بل وتخمين الصفحة التي تقرأها.
ماذا عن ECH؟ ألا يُصلح SNI؟
سؤال جيّد — وفي محلّه. Encrypted Client Hello (ECH) هو خليفة اقتراح ESNI القديم. يُشفّر ClientHello كاملاً، بما فيه حقل SNI، فلا يتسرّب اسم المضيف في بداية مصافحة TLS.
ECH هو الحلّ الأنظف لمشكلة SNI. المسألة في التبنّي:
- يعمل ECH فقط إذا دعمه كلٌّ من العميل (المتصفّح) والخادم (أو شبكة CDN خاصّته)
- على أرض الواقع في 2026، تمرّ معظم حركة ECH عبر Cloudflare — شبكة CDN واحدة
- كثير من المواقع الكبرى (البنوك، شركات الطيران، الجهات الحكومية، الخدمات الإقليمية) ليست خلف CDN يدعم ECH أصلاً
- بعض الشبكات تحجب فعلياً رسائل ClientHello التي تحمل علامة ECH لإجبار العميل على التراجع
في تجربة Bombal، كشف حقل SNI نطاق الوجهة في كل موقع تقريباً اختبره، باستثناءات نادرة لمواقع وراء Cloudflare مع تفعيل ECH. التقنية حقيقية، لكنها بعدُ ليست الإجابة الكاملة.
DNS المشفّر مقابل VPN: المقارنة الحقيقية
هكذا تتقابل التقنيتان أمام التهديدات التي تهمّ معظم الناس:
| ما يستطيع المراقب رؤيته | DNS مشفّر فقط | VPN |
|---|---|---|
| استعلامات DNS النصّية | مخفيّة | مخفيّة |
| عنوان IP الوجهة | مرئيّ | مخفيّ (يُرى فقط IP خادم VPN) |
| TLS SNI / اسم المضيف | مرئيّ | مخفيّ (داخل النفق) |
| توقيت الاتصالات وحجمها مع موقع محدّد | مرئيّان | مموّهان (مختلطان مع حركة VPN أخرى) |
| لمن يستطيع المزوّد بيع بيانات تصفّحك | لك | لمزوّد VPN إن كان يحتفظ بسجلّات (مع VPN بلا سجلّات: لا أحد) |
| الوصول إلى المحتوى المقيّد جغرافياً | بلا تغيير | يُتجاوز عبر خادم في منطقة أخرى |
| تنصّت في الواي‑فاي العامّ | جزئيّ | مشفّر بالكامل من طرف إلى طرف |
تعمل VPN في طبقة أدنى جوهرياً من DNS. تبني نفقاً مشفّراً من جهازك إلى خادم VPN، وتمرّ كلّ الحزم — استعلامات DNS، توجيه IP، مصافحات TLS، SNI، أنماط حركة البيانات — عبر هذا النفق. لا يرى مزوّدك سوى دفق مشفّر واحد إلى نقطة VPN. لا يستطيع قراءته، ولا التمييز بين الوجهات الفردية، ولا بيع ما لا يملكه.
لماذا لا يكفي «أنا أستخدم DoH»
لنستعرض المواقف التي يفترض فيها الناس عادةً أنّ DNS المشفّر يحميهم، وما يحدث فعلاً:
على شبكة واي‑فاي المنزل. لا يزال مزوّدك يرى كلّ IP وSNI تتّصل بهما. يمكنه بناء ملفّ تصفّح كامل، وفي كثير من البلدان بيعه أو مشاركته.
على واي‑فاي عامّة. من يدير نقطة الوصول — أو مهاجم على الشبكة نفسها — يقرأ SNI الخاصّ بك بنصّ صريح. يعرف كلّ موقع تزوره، حتى لو كان DNS مشفّراً مع Cloudflare.
على شبكة شركة أو فندق. يرى مدير الشبكة كلّ وجهاتك وغالباً ما يسجّلها بنشاط. بعض الشبكات تحجب محلّلات DoH المعروفة لإعادتك إلى DNS النصّي.
تحت مراقبة أو حجب على مستوى الدولة. فحص SNI من أرخص تقنيات التصفية وأكثرها انتشاراً في العالم. لا يتجاوزه DNS المشفّر وحده.
في أيّ من هذه الحالات، لا يُغيّر DoH بشكل ذي معنى ما يستطيع المراقب معرفته عنك.
الحزمة الصحيحة: DNS المشفّر و VPN
ليست هذه مفاضلة «إمّا/أو». الإعداد الأقوى يجمع بينهما:
- VPN ينقل 100% من حركتك — DNS وIP وSNI، كل شيء — عبر نفق مشفّر، فيُخفيها كلّها عن المزوّد والشبكة المحلّية.
- DNS المشفّر داخل VPN يضمن حماية استعلامات DNS أيضاً من المحلّلات الأعلى لمزوّد VPN، ويقلّل البصمة إذا انقطع VPN لحظياً.
- ECH حيث يتوفّر يضيف طبقة إضافية للمواقع التي تدعمه — مفيد، لكنه ليس بديلاً عن النفق.
ينبغي لـ VPN موثوق أيضاً أن يتعامل مع DNS تلقائياً: فور الاتصال، يجب أن تُوجَّه كلّ حركة DNS عبر محلّلات VPN الخاصّة (أو مزوّد DNS المشفّر الذي اخترته) داخل النفق، مع حماية من تسرّب DNS تضمن ألا يفلت أيّ استعلام إلى محلّل المزوّد بالخطأ.
كيف تتحقّق أنّ إعدادك لا يُسرّب
قبل أن تثق بكلّ هذا، اختبره:
- اتّصل بـ VPN.
- ادخل dnsleaktest.com وشغّل الاختبار الموسّع. يجب أن ترى محلّل مزوّد VPN، لا مزوّد الإنترنت.
- ادخل browserleaks.com/ip وتأكّد أن IP العامّ يطابق خادم VPN لا عنوانك الحقيقي.
- اختيارياً: على browserleaks.com/tls اطّلع على شكل TLS ClientHello (بما فيه دعم SNI/ECH) من منظور خادم.
إن أظهر أيّ من هذه الاختبارات مزوّدك الحقيقيّ أو IP الحقيقيّ أو موقعك الحقيقيّ، فإعدادك يسرّب. تُغلق العملاء الجيدون لـ VPN ذلك تلقائياً عبر Kill Switch وحماية من تسرّب DNS مدمجة — لكن يستحقّ التحقّق بنفسك مرّة.
الخلاصة
DNS المشفّر تحسّن حقيقي على DNS النصّي، وعليك تفعيله. لكنه يحلّ مشكلة ضيّقة: إخفاء النصّ الحرفيّ لاستعلامات DNS عمّن يراقب السلك.
لا يُخفي:
- عناوين IP التي تتّصل بها
- أسماء المضيفين المكشوفة في حقول SNI غير المشفّرة
- أنماط حركة بياناتك وبياناتها الوصفية
- أيّ شيء أمام مزوّد إنترنت أو مدير شبكة أو جهة مراقبة مصمّمة
إن كان هدفك خصوصية تصفّح حقيقية — إبعاد مزوّد الإنترنت ومشغّلي الواي‑فاي العامّة والفضوليين العابرين عن نشاطك — فأنت بحاجة إلى VPN. DNS المشفّر مكمّل مفيد فوقه، لا بديل عنه.
كيف تحفظ Mosaic VPN خصوصية تصفّحك
صُمّمت Mosaic VPN انطلاقاً من الحقائق المذكورة أعلاه:
- تشفير AES-256 يلفّ كلّ حزمة — DNS وSNI وكلّ شيء — في نفق مشفّر منخفض الكلفة لا يستطيع مزوّد الإنترنت أو الشبكة المحلية قراءته
- حماية مدمجة من تسرّب DNS تُوجّه كلّ استعلام عبر النفق، فلا يهرب أيّ استعلام إلى محلّل المزوّد
- Kill Switch موثوق يقطع الإنترنت لحظياً إن انقطع النفق، ليمنع تلك النافذة القصيرة من النصّ الصريح التي قد تكشف حركتك
- سياسة عدم احتفاظ بالسجلّات صارمة تعني عدم وجود سجلّ تصفّح يمكن استدعاؤه أو بيعه أو تسريبه
- شبكة خوادم عالميّة تتيح لك الخروج من المنطقة التي تختارها، فتُبطل التتبّع القائم على IP وتفتح المحتوى المقيّد جغرافياً
DNS المشفّر خطوة أولى ممتازة. مع Mosaic VPN، تُغلَق أخيراً تلك الثغرة التي ظلّ مزوّد الإنترنت يستغلّها بهدوء.
الوسوم