پرش به محتویات

DNS Hijacking

DNS Hijacking به معنای ربودن یا انحراف فرآیند تبدیل نام دامنه به آدرس IP است؛ به‌گونه‌ای که درخواست‌های DNS کاربر عمداً به Resolver یا پاسخ نادرست هدایت می‌شوند، بدون آنکه الزاماً کش DNS مسموم شده باشد.

توضیح فنی

در DNS Hijacking، مهاجم یا نهاد واسط (ISP، فایروال سازمانی، روتر آلوده، یا بدافزار محلی) مسیر درخواست DNS را تغییر می‌دهد یا پاسخ دلخواه خود را برمی‌گرداند. این کار می‌تواند با ریدایرکت پورت 53، تغییر تنظیمات DNS کلاینت، دستکاری روتر، یا تزریق پاسخ در مسیر انجام شود. برخلاف DNS Poisoning، پاسخ جعلی لزوماً در کش عمومی DNS ذخیره نمی‌شود و فقط روی کاربران یا شبکهٔ هدف اثر دارد.

اهداف و پیامدها

هدایت کاربران به صفحات فیشینگ یا تبلیغاتی

اعمال فیلترینگ یا سانسور

جمع‌آوری داده‌های مرور

تزریق بدافزار یا کنترل ترافیک

انواع رایج

ISP-level Hijacking: تحمیل DNS داخلی توسط ارائه‌دهنده اینترنت

Router Hijacking: تغییر DNS در مودم/روتر

Local Hijacking: بدافزار یا تنظیمات سیستم‌عامل (resolv.conf، iptables)

Transparent DNS Proxy: رهگیری نامرئی درخواست‌ها

تفاوت با DNS Poisoning

DNS Hijacking = تغییر مسیر یا پاسخ در راه

DNS Poisoning = آلوده‌سازی کش Resolver

راه‌های مقابله

استفاده از DNS over HTTPS (DoH) یا DNS over TLS (DoT)

بررسی و قفل‌کردن تنظیمات DNS سیستم و روتر

استفاده از VPN معتبر

فعال‌سازی DNSSEC (در صورت پشتیبانی دامنه)

DNS HIjacking و اسلام

رابطه اسلام با DNS Hijacking

از نظر فنی، DNS Hijacking یعنی هدایت اجباری کاربر به آدرسی غیر از مقصد واقعی‌اش. در نگاه اسلامی، این عمل با چندین چالش اخلاقی و شرعی مواجه است:

فریب و تدلیس (Deception): در اسلام، فریب دادن دیگران (غش) حرام است. وقتی کاربر می‌خواهد به سایت مشخصی برود اما او را به جای دیگری می‌فرستید، نوعی تقلب و فریب رخ داده است.

غصب حق دسترسی: این کار نوعی تصرف در حق انتخاب و دسترسی دیگران است که با اصل «سلطه انسان بر اموال و حقوق خود» در تضاد است.

سرقت اطلاعات (پایه فیشینگ): اگر هدف از این کار سرقت رمز عبور یا اطلاعات بانکی باشد، تحت عنوان «اکل مال به باطل» (خوردن مال از راه ناحق) قرار می‌گیرد که از گناهان کبیره است.

دیدگاه اسلام در مورد تجسس (حریم خصوصی)

اسلام یکی از پیشروترین ادیان در زمینه حفظ حریم خصوصی است. منابع اسلامی (قرآن و سنت) به صراحت تجسس در امور دیگران را منع کرده‌اند: نفی تجسس در قرآن

آیه ۱۲ سوره حجرات به طور مستقیم می‌فرماید:

«وَلَا تَجَسَّسُوا...» (و در امور یکدیگر تجسس نکنید.) این دستور عام است و شامل فضای فیزیکی، نامه‌ها و امروزه داده‌های دیجیتال (ایمیل‌ها، پیام‌ها و ترافیک شبکه) می‌شود.

اصول کلیدی اخلاق اطلاعاتی در اسلام

حرمت اسرار: پیامبر اکرم (ص) فرمودند: «المجالسُ بالأمانة» (آنچه در جلسات و گفتگوهای خصوصی می‌گذرد، امانت است). افشای این اسرار یا تلاش برای دسترسی به آن‌ها بدون اجازه، خیانت در امانت محسوب می‌شود.

حق مالکیت بر داده: همان‌طور که ورود بی‌اجازه به خانه کسی حرام است، ورود به حساب کاربری یا پایش (Monitoring) غیرمجاز داده‌های خصوصی افراد نیز «هتک حرمت» تلقی می‌شود.

تجسس توسط دولت‌ها: در فقه اسلامی، حتی حکومت‌ها نیز به جز در موارد استثنایی (مانند زمانی که پای امنیت جان مردم یا توطئه علیه جامعه در میان باشد)، حق ندارند در زندگی خصوصی و نامه‌های مردم سرک‌ بکشند.

"DNS Hijacking چیست و چگونه از خود محافظت کنیم؟" توسط کانال MalwareFox منتشر شده است

چیست و چگونه کار می‌کند؟

مفهوم ساده: DNS مانند یک دفترچه تلفن برای اینترنت عمل می‌کند . از آنجایی که کامپیوترها با اعداد (آدرس IP) کار می‌کنند و یادآوری آن‌ها برای انسان سخت است، DNS نام دامنه (مثل google.com) را به آدرس IP سرور مربوطه تبدیل می‌کند .

ربودن DNS (DNS Hijacking) چیست؟

در این حمله، مجرمان سایبری با تغییر تنظیمات DNS یا مداخله در ارتباطات، شما را به جای سایت اصلی به یک سایت جعلی هدایت می‌کنند.

هدف مهاجمان: نمایش تبلیغات ناخواسته، سرقت اطلاعات حساس (فیشینگ) مانند رمزهای بانکی و جزئیات کارت اعتباری .

انواع روش‌های ربودن DNS

  1. محلی (Local): استفاده از تروجان‌ها برای تغییر تنظیمات DNS مستقیماً روی کامپیوتر کاربر . ۲. روتر (Router): بهره‌برداری از آسیب‌پذیری‌های مودم/روتر برای تغییر تنظیمات آن، که بر تمام دستگاه‌های متصل به آن شبکه تأثیر می‌گذارد . ۳. مرد میانی (Man in the Middle): مهاجم ارتباط بین دستگاه شما و سرور DNS را قطع کرده و پاسخ جعلی ارسال می‌کند. ۴. حمله به سرور DNS: نفوذ مستقیم به سرورهای DNS که امنیت ضعیفی دارند و تغییر رکوردها در مبدأ . تفاوت با DNS Spoofing و مسموم‌سازی کش (Cache Poisoning)

    DNS Spoofing: حمله‌ای است که در آن بدون تغییر تنظیمات سرور، نتایج جعلی به کاربر نشان داده می‌شود.

    DNS Cache Poisoning: مهاجم حافظه موقت (کش) DNS را مسموم می‌کند تا کاربر به سایت مخرب هدایت شود.

چگونه از خود محافظت کنیم؟

برای کاربران عادی، ویدیو راهکارهای زیر را پیشنهاد می‌دهد :

اسکن منظم بدافزار: استفاده از آنتی‌ویروس‌های قوی برای جلوگیری از تغییر تنظیمات توسط بدافزارها.

به‌روزرسانی سیستم: نصب آخرین آپدیت‌های امنیتی برای سیستم‌عامل و نرم‌افزارها.

تغییر رمز پیش‌فرض روتر: جلوگیری از دسترسی آسان هکرها به تنظیمات مودم.

استفاده از VPN: برای رمزنگاری ارتباطات اینترنتی .

استفاده از DNSهای امن: مانند DNS عمومی گوگل یا OpenDNS .

این ویدیو آموزشی جامع برای درک یکی از تهدیدات رایج اینترنتی و راه‌های مقابله با آن است.

https://www.youtube.com/watch?v=lggWxsHYK2o

dns poisoning

DNS Poisoning یا DNS Cache Poisoning نوعی حملهٔ امنیتی است که در آن مهاجم با تزریق پاسخ‌های جعلی به کش سرور DNS، نگاشت نادرست بین نام دامنه و آدرس IP ایجاد می‌کند و در نتیجه کاربران بدون اطلاع به سرورهای جعلی یا مخرب هدایت می‌شوند؛ این حمله می‌تواند منجر به سرقت اطلاعات، فیشینگ، تزریق بدافزار و نقض امنیت ارتباطات شود و معمولاً با مکانیزم‌هایی مانند DNSSEC، استفاده از DNSهای معتبر و رمزنگاری درخواست‌های DNS قابل پیشگیری است.

DNS interception / hijacking در سطح شبکه (ISP، فایروال سازمانی، یا شبکه‌ای که به آن متصل هستید)

Redirect اجباری پورت 53 به DNS داخلی

یا VPN / Proxy که DNS خودش را تحمیل می‌کند

این رفتار جعل کش DNS نیست، بلکه دستکاری مسیر درخواست‌های DNS است.

تفاوت مهم

DNS Poisoning: تزریق پاسخ جعلی داخل کش Resolver عمومی

DNS Interception (مورد شما): تغییر یا رهگیری درخواست DNS قبل از رسیدن به Resolver مقصد

مقدمه

اصطلاح DNS Poisoning در فارسی معمولاً به یکی از شکل‌های زیر ترجمه می‌شود:

مسموم‌سازی DNS (رایج‌ترین و رسمی‌تر)

مسموم‌سازی کش DNS

جعل DNS (ترجمهٔ آزادتر و غیررسمی)

آلوده‌سازی DNS (کمتر رایج)

در متون فنی و دانشگاهی، «مسموم‌سازی کش DNS» دقیق‌ترین معادل محسوب می‌شود.

حمله‌ی DNS Spoofing (یا DNS Poisoning)

فرایند عادی: وقتی می‌خواهید وب‌سایتی را باز کنید، کامپیوتر شما درخواستی به سرور DNS می‌فرستد تا نام دامنه (مثل https://www.google.com/search?q=google.com) را به آدرس IP عددی ترجمه کند. پس از این ترجمه، مرورگر شما به وب‌سایت اصلی هدایت می‌شود .

نحوه‌ی حمله: در این نوع حمله، هکرها پایگاه داده‌ی سرورهای DNS را دستکاری کرده و آدرس IP واقعی یک دامنه را با یک آدرس IP مخرب جایگزین می‌کنند .

نتیجه: در نتیجه، وقتی کاربر سعی می‌کند به وب‌سایت مورد نظر خود دسترسی پیدا کند، به جای سایت اصلی، به یک آدرس مخرب هدایت می‌شود که می‌تواند امنیت او را به خطر بیندازد .

برای مشاهده‌ی ویدیو می‌توانید از این لینک استفاده کنید: https://www.youtube.com/watch?v=j14Qy2hpW9k

کانال NetworkChuck به زبان ساده و جامع توضیح می‌دهد

. DNS چیست؟

DNS مانند لیست مخاطبین گوشی شما عمل می‌کند. همان‌طور که شما شماره تلفن دوستتان (برنارد) را حفظ نمی‌کنید و نام او را جستجو می‌کنید، مرورگرها هم آدرس‌های IP عددی وب‌سایت‌ها را نمی‌دانند. DNS نام دامنه (مثل google.com) را به آدرس IP سرور آن ترجمه می‌کند تا مرورگر بتواند به آن متصل شود. ۲. فرآیند یک پرس‌وجوی DNS (از ابتدا تا انتها)

این فرآیند در کسری از ثانیه طی مراحل زیر انجام می‌شود:

Stub Resolver: ابتدا کامپیوتر شما حافظه‌ی موقت (Cache) خود را چک می‌کند تا ببیند قبلاً این آدرس را ذخیره کرده یا خیر.

Recursive DNS Server: اگر آدرس در حافظه نبود، درخواستی به سرور DNS (مثل سرورهای گوگل 8.8.8.8) فرستاده می‌شود.

Root Servers: این سرورها «رئیس‌های DNS» هستند و درخواست را به سمت پسوندهای خاص (مثل .com یا .net) هدایت می‌کنند.

TLD Servers: سرورهای مربوط به پسوند دامنه (Top Level Domain) مسئولیت هدایت به سمت نام دامنه (مثل NetworkChuck) را دارند.

Authoritative Name Server: در نهایت، سرور اصلی که اطلاعات دقیق دامنه در آن قرار دارد (مثل Cloudflare)، آدرس IP نهایی را برمی‌گرداند.

  1. امنیت و حریم خصوصی در DNS

    DNS Spoofing: هکرها می‌توانند در مسیر پرس‌وجو قرار بگیرند و شما را به وب‌سایت‌های مخرب هدایت کنند.

    DoH (DNS over HTTPS): راهکاری برای رمزنگاری درخواست‌های DNS است تا از جاسوسی هکرها و حتی شرکت‌های ارائه دهنده اینترنت (ISP) جلوگیری شود.

  2. انواع رکوردها در DNS

در این ویدیو به رکوردهای مهمی اشاره می‌شود، از جمله:

A Record: نقشه‌ی نام دامنه به آدرس IPv4.

AAAA Record: نقشه‌ی نام دامنه به آدرس IPv6.

MX Record: مشخص کردن سرورهای ایمیل یک دامنه.

CNAME: ایجاد نام مستعار برای یک دامنه.

TXT Record: رکوردهای متنی که برای تأیید هویت و امنیت ایمیل استفاده می‌شوند.
  1. مدیریت و ثبت دامنه

ویدیو همچنین فرآیند خرید دامنه از طریق Registrarها و نقش سازمان ICANN در مدیریت کل سیستم DNS را توضیح می‌دهد.

لینک ویدیو برای مشاهده جزئیات بیشتر: https://www.youtube.com/watch?v=NiQTs9DbtW4

کانال Computerphile به توضیح حمله‌ی DNS Cache Poisoning (مسموم کردن حافظه‌ی پنهان DNS)

. مفهوم حمله

DNS سیستمی است که نام دامنه‌ها (مثل google.com) را به آدرس‌های IP تبدیل می‌کند. در این حمله، هکر یک پاسخ جعلی برای یک پرس‌وجوی DNS ارسال می‌کند. اگر این پاسخ زودتر از پاسخ واقعی به سرور برسد، سرور آدرس جعلی را در حافظه‌ی پنهان (Cache) خود ذخیره می‌کند . ۲. نحوه‌ی انجام حمله

Query ID: هر پرس‌وجوی DNS دارای یک کد شناسایی (ID) است. در گذشته، این کدها به صورت ترتیبی افزایش می‌یافتند، که حدس زدن آن‌ها را برای هکرها بسیار آسان می‌کرد .

سرعت عمل: هکر باید پاسخ جعلی خود را با کد شناسایی درست، دقیقاً قبل از رسیدن پاسخ اصلی از سرورهای معتبر ارسال کند .
  1. پیامدهای خطرناک

زمانی که آدرس جعلی در حافظه‌ی پنهان ذخیره شد، ممکن است برای مدت طولانی (تا چند روز) باقی بماند. هر کاربری که از آن سرور استفاده کند، به جای سایت اصلی به سایت هکر هدایت می‌شود. هکر می‌تواند یک صفحه‌ی ورود جعلی بسازد تا نام کاربری و رمز عبور افراد را سرقت کند یا سیستم آن‌ها را به بدافزار آلوده نماید . ۴. حمله‌ی Dan Kaminsky (سال ۲۰۰۸)

این محقق امنیتی روشی ابداع کرد که حتی با وجود تصادفی بودن کد شناسایی، می‌شد با ارسال درخواست‌های زیاد برای دامنه‌های تصادفی (مثل 123.google.com)، شانس موفقیت حمله را به شدت افزایش داد و در عرض چند ثانیه کنترل یک دامنه را به دست گرفت . ۵. روش‌های مقابله و پیشگیری

تصادفی‌سازی پورت (Port Randomization): علاوه بر کد شناسایی، پورت ارسال درخواست نیز تصادفی شد که امنیت را تا حد زیادی بالا برد .

DNSSEC: راهکار نهایی و اصلی استفاده از پروتکل DNSSEC است که با استفاده از امضاهای دیجیتال و گواهینامه‌ها، هویت پاسخ‌دهنده را تأیید می‌کند تا جلوی پاسخ‌های جعلی گرفته شود .

برای مشاهده‌ی کامل ویدیو می‌توانید از لینک زیر استفاده کنید: https://www.youtube.com/watch?v=7MT1F0O3_Yw

بررسی یک مثال واقعی

دامنه proxifier.com را در نظر بگیرید که به آدرس IP زیر نگاشت شده است:

dig +short  proxifier.com
10.10.34.35

https://filtershekan.sbs/DNS/#dns_38

در ایران معمولا جواب درخواست های DNS سایت های فیلتر شده به یکی از سه آدرس 10.10.34.34، 10.10.34.35، 10.10.34.36، تغییر می کنند.

دستور nslookup

به آدرس آی پی سمی شده اشاره می کند

nslookup www.proxifier.com
Server:     10.202.10.10
Address:    10.202.10.10#53

Non-authoritative answer:
Name:   www.proxifier.com
Address: 10.10.34.35

پیگیری DNS واقعی

curl -s 'https://cloudflare-dns.com/dns-query?name=www.proxifier.com&type=A'   -H 'accept: application/dns-json'
{"Status":0,"TC":false,"RD":true,"RA":true,"AD":false,"CD":false,"Question":[{"name":"www.proxifier.com","type":1}],"Answer":[{"name":"www.proxifier.com","type":5,"TTL":14400,"data":"proxifier.com."},{"name":"proxifier.com","type":1,"TTL":14400,"data":"172.104.17.238"}]}

ip dns : 172.104.17.238

ping 172.104.17.238

ping 172.104.17.238 PING 172.104.17.238 (172.104.17.238) 56(84) bytes of data.

که جوابی دریافت نمی کنه چون ای پی هم فیلتر هستش.

dig +short -x 172.104.17.238 li1831-238.members.linode.com.

این آدرس در نهایت فیلتر نبود و باز میشود li1831-238.members.linode.com

بررسی filtershekan.sbs

dig +short filtershekan.sbs
10.10.34.34


nslookup filtershekan.sbs
Server:     10.202.10.10
Address:    10.202.10.10#53

Non-authoritative answer:
Name:   filtershekan.sbs
Address: 10.10.34.34


curl -s 'https://cloudflare-dns.com/dns-query?name=filtershekan.sbs&type=A'   -H 'accept: application/dns-json'

{"Status":0,"TC":false,"RD":true,"RA":true,"AD":false,"CD":false,"Question":[{"name":"filtershekan.sbs","type":1}],"Answer":[{"name":"filtershekan.sbs","type":1,"TTL":300,"data":"172.67.207.134"},{"name":"filtershekan.sbs","type":1,"TTL":300,"data":"104.21.37.110"}]}

اتصال مستقیم به کلودفلیر

http://172.67.207.134/

Error 1003 Ray ID: 9afe9d370e253611 • 2025-12-18 12:20:24 UTC Direct IP access not allowed

حالا اگر با ابزاری مثل DNSmasq آی پی هدف را جایگزین دامنه بکنیم سایت باز میشود

address=/filtershekan.sbs/172.67.207.134

با این روش می توان مستقیم به سایت وصل شد.

اتصال به یوتوب

dig +short youtube.com
10.10.34.35

nslookup youtube.com
nslookup youtube.com
Server:     10.202.10.10
Address:    10.202.10.10#53

Non-authoritative answer:
Name:   youtube.com
Address: 10.10.34.35
Name:   youtube.com
Address: 2001:4188:2:600:10:10:34:35

curl -s 'https://cloudflare-dns.com/dns-query?name=youtube.com&type=A'   -H 'accept: application/dns-json'
{"Status":0,"TC":false,"RD":true,"RA":true,"AD":false,"CD":false,"Question":[{"name":"youtube.com","type":1}],"Answer":[{"name":"youtube.com","type":1,"TTL":8,"data":"142.251.32.110"}]}

ping 142.251.32.110
PING 142.251.32.110 (142.251.32.110) 56(84) bytes of data.
64 bytes from 142.251.32.110: icmp_seq=1 ttl=103 time=249 ms


curl -s 'https://cloudflare-dns.com/dns-query?name=googlevideo.com&type=A'   -H 'accept: application/dns-json'

{"Status":0,"TC":false,"RD":true,"RA":true,"AD":false,"CD":false,"Question":[{"name":"googlevideo.com","type":1}],"Answer":[{"name":"googlevideo.com","type":1,"TTL":270,"data":"142.250.190.228"}]}



curl -s 'https://cloudflare-dns.com/dns-query?name=rr1---sn-q4fl6nlz.googlevideo.com&type=A'   -H 'accept: application/dns-json'

🚀 DNS Over HTTP (DOH) vs DNS Over TLS (DOT): The Privacy Battle! 🚀

این ویدیو به مقایسه دو پروتکل امنیتی برای DNS، یعنی DoH (DNS over HTTPS) و DoT (DNS over TLS) می‌پردازد. هر دوی این روش‌ها برای افزایش حریم خصوصی و امنیت با استفاده از رمزنگاری سرتاسری (End-to-End Encryption) طراحی شده‌اند.

این ویدیو به بررسی و مقایسه دو روش اصلی برای افزایش امنیت و حریم خصوصی در سیستم نام دامنه (DNS) می‌پردازد: DoH و DoT. هر دوی این پروتکل‌ها با رمزنگاری درخواست‌های شما، از ردیابی یا دستکاری ترافیک اینترنتی جلوگیری می‌کنند.

خلاصه‌ای از مباحث مطرح شده در ویدیو: ویژگی‌های مشترک

رمزنگاری سرتاسری: هر دو پروتکل ارتباط بین دستگاه شما و سرور DNS را به صورت کامل رمزنگاری می‌کنند.

تایید هویت: هر دو از استانداردهای امنیتی برای اطمینان از صحت آدرس‌های بازگشتی استفاده می‌کنند.

DNS over HTTPS (DoH)

روش کار: درخواست‌های DNS را در قالب ترافیک وب (HTTPS) بسته‌بندی می‌کند.

پورت: از پورت استاندارد وب استفاده می‌کند که باعث می‌شود ترافیک DNS با ترافیک معمولی اینترنت یکی به نظر برسد. این ویژگی کمک می‌کند تا عبور از محدودیت‌ها و فیلترینگ آسان‌تر شود.

نحوه ارسال: داده‌ها می‌توانند از طریق متد GET یا POST و معمولاً در قالب فایل‌های ساختاریافته ارسال شوند.

DNS over TLS (DoT)

روش کار: ابتدا یک لایه امنیتی اختصاصی (TLS) ایجاد کرده و سپس درخواست DNS را از داخل آن عبور می‌دهد.

پورت: از یک پورت اختصاصی و مجزا از ترافیک وب استفاده می‌کند.

فرآیند اتصال: در این روش، کلاینت ابتدا باید اتصال امن را با سرور تأیید کند. بسته به تنظیمات، اگر اتصال امن برقرار نشود، سیستم یا ارتباط را قطع می‌کند و یا در حالت ناامن به کار خود ادامه می‌دهد.

نتیجه‌گیری: تفاوت اصلی این دو در "نحوه انتقال" است؛ DoH ترجیح می‌دهد ترافیک DNS را در میان ترافیک وب مخفی کند، در حالی که DoT یک مسیر رمزنگاری شده مستقیم و مشخص برای این کار ایجاد می‌کند.

لینک ویدیو: https://www.youtube.com/watch?v=CNGT5Yk_apw

Demystifying DNS over TLS (DoT) and DNS over HTTPS (DoH): What You Need to Know

چرا به DoT و DoH نیاز داریم؟

در حالت پیش‌فرض، پرس‌وجوهای DNS به صورت متن ساده (Plain Text) ارسال می‌شوند. این یعنی ارائه‌دهندگان خدمات اینترنتی (ISP)، دولت‌ها یا مهاجمان می‌توانند فعالیت‌های آنلاین شما را مشاهده کنند، دسترسی به برخی سایت‌ها را مسدود کنند یا شما را به وب‌سایت‌های جعلی هدایت کنند. این دو پروتکل با رمزنگاری ترافیک، این اطلاعات را غیرقابل خواندن می‌کنند. مقایسه عملکرد و کاربرد

DNS over TLS (DoT):

    بیشتر مورد پسند مدیران شبکه است زیرا به آن‌ها اجازه می‌دهد ترافیک DNS را بهتر مانیتور و مدیریت کنند.

    برای هر پرس‌وجو یک اتصال TLS جداگانه ایجاد می‌کند که ممکن است کمی تاخیر (Latency) ایجاد کند.

DNS over HTTPS (DoH):

    از نظر حریم خصوصی برتری دارد زیرا درخواست‌های DNS را در میان ترافیک معمولی وب (HTTPS) مخفی می‌کند. این کار باعث می‌شود تشخیص و مسدود کردن درخواست‌های DNS برای شخص ثالث بسیار دشوار شود.

    می‌تواند از اتصالات موجود HTTPS استفاده کند که باعث کاهش تاخیر و بار اضافی روی سیستم می‌شود.

کاربردهای عملی

مرور وب: مرورگرهایی مانند کروم، فایرفاکس و مایکروسافت اج در حال حاضر از DoH پشتیبانی می‌کنند تا از جاسوسی و سانسور جلوگیری کنند.

مکمل VPN: استفاده از این پروتکل‌ها در کنار VPN تضمین می‌کند که حتی اگر VPN ترافیک DNS را رمزنگاری نکند، این اطلاعات همچنان محافظت شده باقی بمانند.

دستگاه‌های اینترنت اشیا (IoT): این دستگاه‌ها اغلب در برابر حملات DNS آسیب‌پذیر هستند و استفاده از پروتکل‌های رمزنگاری‌شده می‌تواند امنیت آن‌ها را به شدت افزایش دهد.

در نهایت، ویدیو تأکید می‌کند که انتخاب بین این دو بستگی به اهداف شما دارد؛ اگر مانیتورینگ شبکه مهم است DoT گزینه بهتری است و اگر مخفی ماندن و حریم خصوصی اولویت دارد، DoH پیشنهاد می‌شود.

لینک ویدیو: https://www.youtube.com/watch?v=5E7Aow2Ay7U

مهندسی انزوا: تبارشناسی و تحلیل استراتژیک زیرساخت مسموم‌سازی DNS در جمهوری اسلامی ایران

تحولات فضای سایبری در جمهوری اسلامی ایران طی دو دهه اخیر، از یک سیستم فیلترینگ ساده و توزیع‌شده به یک معماری متمرکز، پیچیده و چندلایه تبدیل شده است که امروزه تحت عنوان "دیوار آتش بزرگ ایران" (GFI) شناخته می‌شود. این سیستم، نه تنها برای کنترل ترافیک داخلی، بلکه به عنوان ابزاری برای نفوذ و جاسوسی در سطح بین‌المللی طراحی شده است. تمرکز ویژه این نوشتار بر چرایی و چگونگی طراحی بزرگترین سیستم جعل و ربودن دی‌ان‌اس (DNS Hijacking) توسط این رژیم است؛ سیستمی که از نظر مقیاس عملیاتی و عمق نفوذ، در بسیاری از شاخص‌ها با سیستم‌های مشابه در چین و روسیه رقابت کرده یا حتی از آن‌ها پیشی گرفته است.1 در سال‌های ۲۰۲۴ و ۲۰۲۵، گزارش‌های فنی نشان می‌دهند که زیرساخت‌های سانسور در ایران به سطحی از تکامل رسیده‌اند که قادرند بیش از ۶.۸ میلیون آدرس IP را به طور همزمان تحت تأثیر مسموم‌سازی DNS قرار داده و ترافیک میلیون‌ها دامنه را به سمت سرورهای حکومتی هدایت کنند.1

ریشه‌های استراتژیک و دکترین امنیت سایبری

طراحی چنین سیستم عظیمی محصول یک دکترین امنیتی است که اینترنت را نه یک ابزار توسعه، بلکه عرصه‌ای برای "جنگ نرم" و تهدیدی علیه بقای سیاسی می‌بیند. از دیدگاه حاکمیت، کنترل بر نظام نام دامنه (DNS) به معنای کنترل بر نقشه راه اینترنت است. رهبری ایران از اوایل دهه ۲۰۰۰ با صدور فرامینی نظیر "سیاست‌های کلی شبکه‌های اطلاع‌رسانی رایانه‌ای"، ضرورت ایجاد یک شبکه تحت نظارت را تبیین کرد.3 این ضرورت با تشکیل شورای عالی فضای مجازی (SCC) در سال ۲۰۱۲ به یک اولویت حاکمیتی تبدیل شد تا سیاست‌های سایبری کشور به صورت متمرکز و بدون نظارت عمومی تدوین شود.3
دلیل اصلی انتخاب DNS به عنوان سنگ‌بنای این سیستم، سادگی فنی و در عین حال اثربخشی بالای آن در مقیاس وسیع است. پروتکل DNS به دلیل ماهیت بدون وضعیت (Stateless) و عدم استفاده از رمزنگاری در نسخه‌های سنتی (UDP-based)، به راحتی توسط تجهیزات بازرسی عمیق بسته‌ها (DPI) در مرزهای شبکه قابل رهگیری و دستکاری است.1 با مسموم‌سازی پاسخ‌های DNS، حاکمیت می‌تواند کاربران را پیش از آنکه حتی ارتباطی با سرور مقصد برقرار کنند، به "سیاه‌چاله‌های دیجیتال" یا صفحات مسدودسازی هدایت کند.2 این روش برخلاف فیلترینگ مبتنی بر IP، اجازه می‌دهد تا دامنه‌های خاصی بر روی سرورهای اشتراکی یا پلتفرم‌های ابری مسدود شوند بدون آنکه کل زیرساخت آن پلتفرم از دسترس خارج شود.7

مقایسه تطبیقی مقیاس و عملکرد سیستم‌های DNS در ایران و چین

شاخص مقایسه دیوار آتش بزرگ ایران (GFI) دیوار آتش بزرگ چین (GFW) مرجع داده
تعداد دامنه‌های مسدود شده بیش از ۶ میلیون FQDN حدود ۳۱۱ هزار دامنه اصلی 1
روش تزریق پاسخ تزریق پاسخ جعلی با IP خصوصی (10.10.x.x) تزریق پاسخ با IPهای جهانی و معتبر 1
محل اعمال فیلترینگ گیت‌وی‌های مرزی متمرکز (TIC) توزیع شده در سطح ISPها و مرزها 7
تأثیر بر ترافیک خارجی نشت محدود به دلیل استفاده از IP خصوصی نشت جهانی گسترده و مسمومیت کش‌های عمومی 9

آمارهای ارائه شده در جدول فوق نشان می‌دهد که ایران در زمینه تعداد دامنه‌های فیلتر شده، رویکردی بسیار تهاجمی‌تر و گسترده‌تر از چین اتخاذ کرده است. استفاده از عبارات باقاعده (Regex) در سیستم‌های DPI ایران باعث شده است که نه تنها دامنه‌های هدف، بلکه میلیون‌ها دامنه بی‌خطر دیگر که تنها در نام خود دارای شباهت‌های متنی با واژگان ممنوعه هستند، دچار "انسداد جانبی" شوند.1

معماری فنی: از تمرکزگرایی تا مسموم‌سازی چندلایه

یکی از ویژگی‌های منحصر به فرد سیستم ایران، نقش شرکت ارتباطات زیرساخت (TIC) به عنوان تنها دروازه ورود و خروج ترافیک اینترنت بین‌المللی است. تمام ISPهای فعال در ایران، از جمله اپراتورهای بزرگی مانند همراه اول و ایرانسل، موظف هستند ترافیک خود را از مجرای TIC عبور دهند.7 این تمرکزگرایی به حاکمیت اجازه داده است تا تجهیزات فیلترینگ را در لبه شبکه (Border Nodes) مستقر کند. تحلیل‌های فنی بر روی زمان حیات بسته‌ها (TTL) و مسیرهای ردیابی (Traceroute) تأیید می‌کنند که مسموم‌سازی DNS در آخرین گره‌های شبکه پیش از خروج از مرز انجام می‌شود.2
سیستم جعل DNS ایران بر پایه آدرس‌های IP خصوصی طبق استاندارد RFC 1918 بنا شده است. آدرس 10.10.34.34 به عنوان مشهورترین مقصد برای درخواست‌های جعل شده شناخته می‌شود.2 این آدرس تنها در داخل شبکه ملی اطلاعات (NIN) قابل مسیریابی است و ترافیک کاربر را در یک بن‌بست دیجیتال محصور می‌کند. در سال‌های اخیر، این سیستم پیچیده‌تر شده و از آدرس‌های دیگری نظیر 10.10.34.35 و 10.10.34.36 نیز برای توزیع بار یا دسته‌بندی انواع مختلف محتوا استفاده می‌شود.12

تحلیل لایه‌های تدافعی در عمق

  1. لایه بازرسی DNS: سیستم DPI با مانیتور کردن پورت ۵۳، درخواست‌های حاوی نام دامنه‌های ممنوعه را شناسایی کرده و پیش از آنکه پاسخ واقعی از سرورهای جهانی برسد، یک پاسخ جعلی با IP خصوصی تزریق می‌کند.1
  2. لایه بازرسی HTTP: اگر کاربر از طریق IP مستقیم یا روش‌های دیگر از سد DNS عبور کند، سیستم در لایه HTTP هدر Host را بررسی کرده و در صورت ممنوعیت، پاسخ ۴۰۳ جعلی ارسال می‌کند که کاربر را مجدداً به صفحه peyvandha.ir هدایت می‌کند.4
  3. لایه بازرسی TLS/SNI: در ترافیک رمزنگاری شده HTTPS، سیستم از قابلیت SNI (Server Name Indication) در فاز دست‌دادن پروتکل TLS استفاده می‌کند تا مقصد کاربر را تشخیص دهد. در صورت تشخیص دامنه فیلتر شده، ارتباط بلافاصله با ارسال بسته‌های TCP RST قطع می‌شود.2
    این معماری "سانسور در عمق" (Censorship-in-Depth) باعث می‌شود که حتی با استفاده از ابزارهای تغییر DNS، کاربر همچنان در لایه‌های بعدی با سد فیلترینگ مواجه شود. برای مثال، تحقیقات در سال ۲۰۲۵ نشان داد که استفاده از حل‌کننده‌های DNS رمزنگاری شده (DoH) در ایران برخلاف چین، با موفقیت صفر درصد روبرو بوده است، زیرا سیستم‌های فیلترینگ ایران نه تنها DNS، بلکه کل دامنه‌های ارائه دهنده خدمات DoH را در لایه SNI مسدود کرده‌اند.16

انگیزه سیاسی: شبکه ملی اطلاعات و حاکمیت بر داده

طراحی بزرگترین سیستم DNS Hijacking در جهان، پیوندی ناگسستنی با پروژه "شبکه ملی اطلاعات" (NIN) یا همان "اینترنت حلال" دارد. هدف نهایی این پروژه، جداسازی ترافیک داخلی از بین‌المللی است به گونه‌ای که حاکمیت بتواند در زمان‌های بحرانی، دسترسی به وب جهانی را به طور کامل قطع کند بدون آنکه خدمات حیاتی نظیر بانکداری، حمل‌ونقل و پورتال‌های دولتی مختل شوند.20
از منظر ژئوپلیتیک، این سیستم به عنوان یک ابزار تدافعی در برابر حملات سایبری خارجی (نظیر استاکس‌نت) و یک ابزار تهاجمی برای سرکوب داخلی عمل می‌کند. در جریان اعتراضات سال ۲۰۱۹، ایران با موفقیت توانست ترافیک بین‌المللی را به ۵ درصد سطح نرمال کاهش دهد در حالی که شبکه داخلی همچنان فعال بود.20 این قابلیت، هزینه اقتصادی قطع اینترنت را برای رژیم به شدت کاهش داده است. بر اساس برآوردها، وجود NIN باعث شده تا هزینه روزانه قطع کامل اینترنت از ۳۷۰ میلیون دلار به مبالغ بسیار کمتری کاهش یابد.22

آمار شکاف دیجیتال و قیمت‌گذاری تبعیض‌آمیز

نوع ترافیک نسبت قیمت (۲۰۲۴) سرعت و دسترسی هدف استراتژیک
ترافیک داخلی (NIN) ۱ (پایه) بالا و بدون محدودیت تشویق به استفاده از پلتفرم‌های بومی 24
ترافیک بین‌المللی ۴ برابر پایین و همراه با فیلترینگ تنبیه کاربران اینترنت آزاد و کنترل جریان اطلاعات 24
استفاده از VPN هزینه اشتراک + ترافیک گران نوسانی و غیرقابل اعتماد ایجاد مانع اقتصادی برای دسترسی به حقیقت 24

این سیاست قیمت‌گذاری تبعیض‌آمیز که با دستور وزارت ارتباطات و شورای عالی فضای مجازی اجرا می‌شود، لایه‌ای دیگر از کنترل را فراهم می‌کند. در دسامبر ۲۰۲۳، قیمت بسته‌های اینترنت بین ۳۰ تا ۴۰ درصد افزایش یافت تا کاربران را بیش از پیش به سمت محتوای داخلی تایید شده سوق دهد.24

ابعاد بین‌المللی: جعل DNS به عنوان سلاح جاسوسی

یکی از دلایلی که سیستم جعل DNS ایران را به "بزرگترین" و "پیچیده‌ترین" در نوع خود تبدیل کرده، استفاده از این تکنولوژی برای عملیات جاسوسی و نفوذ فرامرزی است. برخلاف سیستم چین که عمدتاً بر انزوای داخلی تمرکز دارد، گروه‌های وابسته به ایران نظیر MuddyWater (Boggy Serpens) و APT34 (Evasive Serpens) از جعل DNS برای هدف قرار دادن سازمان‌های دولتی و زیرساخت‌های اینترنتی در سراسر جهان استفاده کرده‌اند.26
در کمپین‌های شناسایی شده توسط شرکت‌های امنیتی نظیر Mandiant، مشخص شد که هکرهای ایرانی با دستکاری رکوردهای DNS در سطح ثبت‌کنندگان دامنه (Registrars)، ترافیک ایمیل و وب سازمان‌های دولتی در خاورمیانه، اروپا و آمریکای شمالی را ربوده‌اند.27 این حملات به قدری گسترده بود که در ژانویه ۲۰۱۹، وزارت امنیت داخلی ایالات متحده (DHS) یک دستور اضطراری برای تمام آژانس‌های فدرال صادر کرد تا امنیت زیرساخت‌های DNS خود را در برابر تهدیدات ایران تقویت کنند.30

ویژگی‌های متمایز حملات DNS ایران در سطح جهانی

  • سرقت اعتبارنامه‌ها در مقیاس وسیع: استفاده از صفحات جعلی برای جمع‌آوری رمزهای عبور دیپلمات‌ها و مقامات دولتی.29
  • جعل گواهینامه‌های SSL: صدور گواهی‌های جعلی برای فریب مرورگرها و انجام حملات Man-in-the-Middle با موفقیت بالا.27
  • هدف‌گیری استراتژیک: تمرکز بر داده‌هایی که ارزش مالی ندارند اما برای جاسوسی سیاسی و امنیتی حیاتی هستند.27
  • نفوذ به زیرساخت‌های مخابراتی: تغییر مسیر ترافیک کل اپراتورهای مخابراتی در کشورهای هدف برای پایش ارتباطات.27

تحقیقات نشان می‌دهند که این گروه‌ها از IPهای داخلی ایران برای مدیریت سرورهای پروکسی استفاده کرده‌اند، که پیوند مستقیم این فعالیت‌ها با نهادهای حکومتی را تقویت می‌کند.27

تحلیل فنی انسداد پروتکل و فیلترهای سفید

در سال ۲۰۲۰، ایران لایه جدیدی از سانسور را تحت عنوان "فیلتر پروتکل" (Protocol Filter) معرفی کرد که نشان‌دهنده تغییر پارادایم از "لیست سیاه" به "لیست سفید" است.31 این سیستم به جای تلاش برای شناسایی و بستن سایت‌های مخرب، تنها به تعداد معدودی از پروتکل‌ها اجازه فعالیت می‌دهد. بر اساس یافته‌های پژوهشگران دانشگاه مریلند، این فیلتر تنها پروتکل‌های DNS، HTTP و HTTPS را مجاز می‌داند و هرگونه ترافیک دیگری (مانند SSH یا پروتکل‌های ناشناخته VPN) را بلافاصله شناسایی و قطع می‌کند.32
این فیلتر به گونه‌ای طراحی شده است که در صورت مشاهده ترافیک غیرمجاز بر روی پورت‌های ۸۰ یا ۴۴۳، کل جریان داده (Flow) را برای مدت ۶۰ ثانیه مسدود می‌کند. اگر کاربر به ارسال داده ادامه دهد، این تایمر مجدداً تنظیم می‌شود، که عملاً باعث فلج شدن ابزارهای دور زدن فیلترینگ می‌شود.32 این سطح از کنترل بر روی لایه انتقال (Transport Layer)، فراتر از دستکاری ساده DNS است و نشان‌دهنده سرمایه‌گذاری سنگین در تجهیزات DPI ملی است.

توزیع جغرافیایی و تأثیرات محلی قطع اینترنت

گزارش‌های ناظران اینترنت در اوت ۲۰۲۲ نشان‌دهنده الگوی منظمی از قطع و اختلال در استان‌های مختلف ایران است. این اختلالات نه به صورت تصادفی، بلکه به عنوان بخشی از یک استراتژی کنترل منطقه‌ای اجرا می‌شوند.33

استان/منطقه نوع اختلال (۲۰۲۲) مدت زمان تقریبی تأثیر بر کاربران
قزوین قطع کامل طولانی‌مدت ۷۲ ساعت از کار افتادن کامل ارتباطات موبایل و ثابت 33
مازندران و تهران قطع‌های کوتاه و مکرر چندین نوبت در روز ایجاد فرسایش روانی و اخلال در کسب‌وکارها 33
ایلام و فارس اختلال در پهنای باند بین‌الملل ۱۰ روز متوالی عدم امکان استفاده از شبکه‌های اجتماعی بین‌المللی 33
همدان و سمنان قطع هدفمند ASهای خاص تا انتهای ماه اوت ایزولاسیون کامل دیتاسنترهای محلی 33

این داده‌ها نشان می‌دهند که حاکمیت دارای یک "کنسول مدیریت مرکزی" است که می‌تواند به صورت جراحی‌گونه، دسترسی هر منطقه جغرافیایی یا هر اپراتور خاص را بر اساس نیازهای امنیتی تغییر دهد.2

آپارتاید دیجیتال و پیامدهای حقوق بشری

طراحی این سیستم گسترده DNS Hijacking منجر به پدیده‌ای شده است که فعالان حقوق بشر آن را "آپارتاید دیجیتال" می‌نامند. این سیستم یک سلسله‌مراتب دسترسی ایجاد کرده است که در آن نزدیکی به قدرت، تعیین‌کننده سطح دسترسی به اطلاعات است.23 در حالی که عامه مردم با اینترنت کند، گران و فیلتر شده دست و پنجه نرم می‌کنند، مقامات و نهادهای حکومتی از "اینترنت بدون فیلتر" بهره‌مند هستند. نشت اطلاعات در سال ۲۰۲۵ نشان داد که حتی متادیتای مکان‌مند پست‌های مقامات در شبکه‌های اجتماعی مسدود شده، استفاده آن‌ها از خطوط اختصاصی و بدون فیلتر را تأیید می‌کند.25
این محدودیت‌ها فراتر از دسترسی به اطلاعات، بر روی حقوق اساسی نظیر حق آموزش و معیشت نیز تأثیر گذاشته است. با توجه به اینکه بسیاری از کلاس‌های درس و خدمات بانکی در ایران به دلیل آلودگی هوا یا بحران‌های دیگر به صورت آنلاین انجام می‌شوند، افزایش قیمت دیتا و اختلالات ناشی از فیلترینگ، باری مضاعف بر دوش خانواده‌های کم‌درآمد گذاشته است.24 همچنین، گزارش‌های Article 19 حاکی از آن است که این زیرساخت‌ها برای آزار و اذیت سیستماتیک روزنامه‌نگاران در داخل و خارج از کشور، از طریق حملات فیشینگ و سرقت اطلاعات هویتی به کار گرفته می‌شوند.34

چالش‌ها و مقاومت فنی در برابر سیستم کنترل

با وجود هزینه‌های میلیاردی (تخمین زده می‌شود سالانه ۴ میلیارد دلار صرف سانسور شود)، سیستم کنترل دیجیتال ایران با چالش‌های جدی روبروست.23 تحقیقات بر روی اپراتور ایرانسل در سال ۲۰۲۴ نشان داد که به دلیل ناهماهنگی در اجرای سیاست‌ها در سطح گره‌های مختلف، گاهی اوقات فیلترینگ مبتنی بر SNI غیرفعال می‌شود و کاربران می‌توانند با استفاده از DoTCP به سایت‌های مسدود شده دسترسی پیدا کنند.18 این موضوع نشان‌دهنده یک "شکاف اجرایی" است که می‌تواند ناشی از کمبود منابع پردازشی در زمان‌های اوج ترافیک یا بحران‌های انرژی باشد.18
فناوری‌های جدید نظیر استارلینک نیز تهدیدی بنیادین برای سیستم مسموم‌سازی DNS ایران هستند. از آنجا که این ماهواره‌ها مستقیماً با گیت‌وی‌های خارج از کشور ارتباط برقرار می‌کنند، کل زیرساخت TIC و مسموم‌سازی DNS در لبه مرز را بی اثر می‌کنند.2 رژیم ایران در واکنش به این تهدید، تلاش کرده است با فشارهای دیپلماتیک بر اتحادیه بین‌المللی مخابرات (ITU)، فعالیت این استارلینک را غیرقانونی جلوه دهد، اما گزارش‌ها حاکی از فعال شدن هزاران دیش در داخل کشور است.2

نبرد ابزارهای ضدسانسور و DPI

تکنولوژی ضدسانسور مکانیسم مقابله وضعیت اثربخشی (۲۰۲۵)
DoH / DoT مسدودسازی IP سرورهای DNS جهانی کم (به دلیل فیلترینگ SNI) 16
مبهم‌سازی ترافیک (obfs4) تغییر امضای پروتکل برای فریب DPI متوسط (در برابر فیلتر پروتکل مقاوم است) 2
تونل‌زنی از طریق CDNها استفاده از دامنه‌های سفید برای حمل ترافیک بالا (شناسایی آن برای سیستم سخت است) 2
ابزار Geneva ایجاد تغییر در بسته‌های TCP برای فریب DPI بالا (به صورت خودکار ضعف‌های DPI را می‌یابد) 31

استفاده از الگوریتم‌های ژنتیک نظیر Geneva نشان داده است که می‌توان با تغییرات جزئی در ساختار بسته‌های TCP (مانند تکه‌تکه کردن بسته‌ها یا دستکاری پرچم‌های SYN)، از سد بازرسی عمیق بسته‌ها در ایران عبور کرد بدون آنکه سیستم متوجه ماهیت واقعی ترافیک شود.31

جمع‌بندی و چشم‌انداز آینده

جمهوری اسلامی بزرگترین سیستم DNS Hijacking دنیا را نه تنها برای انسداد وب‌سایت‌ها، بلکه به عنوان بخش مرکزی یک معماری قدرت دیجیتال طراحی کرده است. این سیستم با هدف نهایی استقرار شبکه ملی اطلاعات، ابزاری است برای کاهش هزینه‌های سیاسی سرکوب و ایجاد یک محیط آنلاین که در آن حاکمیت، معمار مطلق واقعیت دیجیتال است. ترکیب مسموم‌سازی DNS با بازرسی عمیق بسته‌ها، فیلترینگ پروتکل و تبعیض قیمتی، ایران را به یکی از پیشرفته‌ترین مدل‌های دیکتاتوری دیجیتال در جهان تبدیل کرده است که در برخی جنبه‌ها از مدل چینی نیز فراتر رفته است.1
با این حال، پایداری این سیستم در بلندمدت با چالش‌های جدی روبروست. پیشرفت پروتکل‌های رمزنگاری دوطرفه، ظهور اینترنت ماهواره‌ای و ناتوانی در تأمین زیرساخت‌های سخت‌افزاری و انرژی لازم برای پایش بی‌درنگ ترافیک در مقیاس ترابیت، روزنه‌هایی را برای مقاومت دیجیتال باز گذاشته است. نبرد میان "مهندسان انزوا" در شرکت زیرساخت و "توسعه‌دهندگان آزادی" در فضای اپن‌سورس، تعیین‌کننده آینده اینترنت در ایران و الگویی برای سایر رژیم‌های اقتدارگرا در قرن بیست و یکم خواهد بود. سیستم مسموم‌سازی DNS ایران امروز دیگر یک پروژه فنی نیست، بلکه سنگر نهایی یک رژیم سیاسی در برابر جریان آزاد اطلاعات است.2

Works cited

  1. IRBlock: A Large-Scale Measurement Study of the Great Firewall of Iran - USENIX, accessed December 18, 2025, https://www.usenix.org/system/files/usenixsecurity25-tai.pdf
  2. Iran's Stealth Internet Blackout: A New Model of Censorship - arXiv, accessed December 18, 2025, https://arxiv.org/html/2507.14183v1
  3. Internet Censorship in Iran: A First Look - J. Alex Halderman, accessed December 18, 2025, https://jhalderm.com/pub/papers/iran-foci13.pdf
  4. Internet Censorship in Iran: A First Look - USENIX, accessed December 18, 2025, https://www.usenix.org/system/files/conference/foci13/foci13-aryan.pdf
  5. Information Controls in Iranian Cyberspace: A Soft War Strategy, accessed December 18, 2025, https://www.dohainstitute.org/en/PoliticalStudies/Pages/information-controls-in-iranian-cyberspace-a-soft-war-strategy.aspx
  6. The Internet has no place in Khamenei's vision for Iran's future - Atlantic Council, accessed December 18, 2025, https://www.atlanticcouncil.org/blogs/iransource/the-internet-has-no-place-in-khameneis-vision-for-irans-future/
  7. ArvanCloud's Response to The Reporters Without Borders Report, accessed December 18, 2025, https://news.arvancloud.ir/en/arvanclouds-response-to-the-reporters-without-borders-report/
  8. Example DNS query into an Iranian network. | Download Scientific Diagram - ResearchGate, accessed December 18, 2025, https://www.researchgate.net/figure/Example-DNS-query-into-an-Iranian-network_fig16_262771845
  9. How Great is the Great Firewall? Measuring China's DNS Censorship - USENIX, accessed December 18, 2025, https://www.usenix.org/system/files/sec21-hoang.pdf
  10. How Great is the Great Firewall? Measuring China's DNS Censorship - USENIX, accessed December 18, 2025, https://www.usenix.org/conference/usenixsecurity21/presentation/hoang
  11. How Great is the Great Firewall? Measuring China's DNS Censorship, accessed December 18, 2025, https://www3.cs.stonybrook.edu/~mikepo/papers/gfwatch.sec21.pdf
  12. I(ra)nconsistencies: Novel Insights into Iran's Censorship (FOCI 2025) · Issue #451 - GitHub, accessed December 18, 2025, https://github.com/net4people/bbs/issues/451
  13. Internet Censorship in Iran: A First Look (FOCI 2013) · Issue #226 · net4people/bbs - GitHub, accessed December 18, 2025, https://github.com/net4people/bbs/issues/226
  14. In the News: A BGP Hijacking Technical Post-Mortem | Bishop Fox, accessed December 18, 2025, https://bishopfox.com/blog/bgp-hijacking-technical-post-mortem
  15. How great is the Great Firewall in 2022: methodology of DNS censorship - GoClick China, accessed December 18, 2025, https://www.goclickchina.com/blog/how-great-is-great-firewall-the-methodology-of-the-dns-censorship/
  16. I(ra)nconsistencies: Novel Insights into Iran's Censorship - CensorBib, accessed December 18, 2025, https://censorbib.nymity.ch/pdf/Lange2025a.pdf
  17. I cant access to my domain, my DNS changed to [10.10.34.34] - Cloudflare Community, accessed December 18, 2025, https://community.cloudflare.com/t/i-cant-access-to-my-domain-my-dns-changed-to-10-10-34-34/614760
  18. Irancell (MTN): Impact of DNS Resolution Paths on ... - MahsaNet, accessed December 18, 2025, https://mahsanet.com/blog/10/irancell-impact-of-dns-on-blocked-domains
  19. Understanding the Impact of Encrypted DNS on Internet Censorship - ODU Digital Commons, accessed December 18, 2025, https://digitalcommons.odu.edu/cgi/viewcontent.cgi?article=1195\&context=computerscience_fac_pubs
  20. geopolitics behind the routes data travel: a case study of Iran | Journal of Cybersecurity, accessed December 18, 2025, https://academic.oup.com/cybersecurity/article/7/1/tyab018/6353268
  21. The dual role of Iran's National Information Network : a primer, accessed December 18, 2025, https://cadmus.eui.eu/entities/publication/3a1c4515-96ad-462c-ac3e-a869c069af34
  22. IRAN'S DIGITAL FORTRESS: THE RISE OF THE NATIONAL INFORMATION NETWORK - American Foreign Policy Council, accessed December 18, 2025, https://www.afpc.org/uploads/documents/Iran_Strategy_Brief_No._16_-_August_2025.pdf
  23. Internet censorship in Iran - Wikipedia, accessed December 18, 2025, https://en.wikipedia.org/wiki/Internet_censorship_in_Iran
  24. Iran: Freedom on the Net 2024 Country Report, accessed December 18, 2025, https://freedomhouse.org/country/iran/freedom-net/2024
  25. Iran's Two-Tier Censored Internet Is Getting More Expensive - NCRI, accessed December 18, 2025, https://www.ncr-iran.org/en/news/human-rights/irans-two-tier-censored-internet-is-getting-more-expensive/
  26. Threat Brief: Escalation of Cyber Risk Related to Iran (Updated June 30), accessed December 18, 2025, https://unit42.paloaltonetworks.com/iranian-cyberattacks-2025/
  27. Global DNS Hijacking Campaign: DNS Record Manipulation at Scale | Mandiant | Google Cloud Blog, accessed December 18, 2025, https://cloud.google.com/blog/topics/threat-intelligence/global-dns-hijacking-campaign-dns-record-manipulation-at-scale/
  28. Global hijacking of domain name system (DNS) - Cyber Operations Tracker, accessed December 18, 2025, https://www.cfr.org/cyber-operations/2019/01/09/global-hijacking-of-domain-name-system-dns/
  29. The global DNS hijacking threat - Cloudflare, accessed December 18, 2025, https://www.cloudflare.com/learning/security/global-dns-hijacking-threat/
  30. DHS releases emergency order to prevent DNS hijacking - CyberScoop, accessed December 18, 2025, https://cyberscoop.com/dhs-dns-directive-government-shutdown/
  31. Detecting and Evading Censorship-in-Depth: A Case Study of Iran's Protocol Whitelister, accessed December 18, 2025, https://www.usenix.org/conference/foci20/presentation/bock
  32. Detecting and Evading Censorship-in-Depth: A Case Study of Iran's Protocol Filter - USENIX, accessed December 18, 2025, https://www.usenix.org/system/files/foci20-paper-bock.pdf
  33. Network Monitor: Iran's Information Controls Targets Instagram With Major Disruptions - Filterwatch - فیلتربان, accessed December 18, 2025, https://filter.watch/english/2022/09/14/network-monitor-august-2022/
  34. Online harassment against women journalists in the Iranian diaspora - ARTICLE 19, accessed December 18, 2025, https://www.article19.org/resources/online-harassment-against-women-journalists-in-the-iranian-diaspora/
  35. Iran's Digital Authoritarianism as the Blueprint for National Sovereignty - Academic Conferences International, accessed December 18, 2025, https://papers.academic-conferences.org/index.php/eccws/article/download/2297/2133/8519