ما هي سجلات الاتصال؟
اتصال الإنترنت لا يختفي بالضرورة بالكامل في لحظته.
قد تبقى سجلات عن الاتصال في مواقع Web والخوادم وDNS وISPs والموجّهات والجدران النارية وأنظمة مشابهة.
تسمى هذه السجلات المتعلقة بالاتصال عمومًا "سجلات الاتصال".
قد تتضمن سجلات الاتصال لا محتوى الاتصال نفسه فقط، بل أيضًا معلومات محيطة مثل وقت الاتصال، وعنوان IP المصدر، والوجهة، وURL الذي جرى الوصول إليه، ومعلومات المتصفح، و، واستعلامات DNS.
عند التفكير في المجهولية، لا يكفي السؤال فقط عما إذا كان المحتوى مشفرًا.
ذلك لأن البيانات الوصفية المرتبطة بالاتصال قد تصبح مؤشرًا للتتبع حتى عندما لا يمكن قراءة المحتوى.
أين تبقى سجلات الاتصال؟
سجلات الاتصال هي سجلات عن الاتصال.
مثلًا، عند الوصول إلى موقع Web، قد يسجل خادم Web "متى" و"من أي عنوان IP" و"إلى أي URL" و"بأي معلومات متصفح" حدث الوصول.
لكن سجلات الاتصال لا تبقى بالطريقة نفسها في كل بيئة. المعلومات التي تُسجل تتغير بحسب إعدادات الخادم، وتصميم التطبيق، والخدمات السحابية المستخدمة، وبنية الشبكة، وسياسة الاحتفاظ بالسجلات.
النقطة المهمة هي أن اتصال الإنترنت له نقاط مشاهدة متعددة. قد تبقى أنواع مختلفة من السجلات في أماكن مختلفة، مثل جهة موقع Web، وDNS، وISPs، والموجّهات، والشبكات الداخلية، والبنية السحابية.
| مكان قد تبقى فيه السجلات | معلومات قد تُسجل | الغرض الرئيسي |
|---|---|---|
| خادم Web | وقت الوصول، عنوان IP، URL، User-Agent، المرجع، ومعلومات مشابهة | تحليل الوصول، الاستجابة للحوادث، كشف الهجمات |
| التطبيق | سجل تسجيل الدخول، سجل العمليات، تفاصيل الأخطاء، ID الحساب، ومعلومات مشابهة | منع إساءة الاستخدام، تشغيل الخدمة |
| محلل DNS | اسم النطاق المستعلَم عنه، وقت الاستعلام، معلومات الطالب، ومعلومات مشابهة | حل الأسماء، إدارة الشبكة |
| ISP أو مشغل الشبكة | وقت الاتصال، عنوان IP المخصص، حجم الحركة، بعض معلومات الوجهة، ومعلومات مشابهة | تشغيل الشبكة، إدارة الاتصال |
| الموجّه والجدار الناري | الوجهة، حجم الحركة، الاتصال المحظور، معلومات الأجهزة الداخلية، ومعلومات مشابهة | إدارة الشبكة، تدابير الأمان |
لماذا تبقى السجلات؟
لا توجد السجلات فقط لمراقبة المستخدمين. في كثير من الحالات، تُسجل السجلات لتشغيل الخدمات والشبكات بثبات.
عند حدوث خطأ في موقع Web، يفحص المديرون السجلات للتحقيق في أي URL، وفي أي وقت، وأي نوع من الأخطاء حدث.
وتصبح السجلات أيضًا دليلًا مهمًا للتحقيق عند حدوث أحداث مشبوهة مثل تسجيل دخول غير مصرح به، أو وصول كثيف، أو فحص ثغرات، أو إصابة ببرمجيات خبيثة، أو اشتباه في تسرب معلومات.
| الغرض | كيف تُستخدم السجلات | مثال |
|---|---|---|
| الاستجابة للحوادث | التحقيق في أسباب الأخطاء أو التوقف | فحص ما إذا كانت أخطاء 500 تزيد في URL محدد |
| تدابير الأمان | كشف الوصول المشبوه | فحص ما إذا حدثت محاولات تسجيل دخول كثيرة في وقت قصير |
| منع إساءة الاستخدام | التحقيق في مؤشرات مخالفة الشروط أو الهجمات | فحص الطلبات غير الطبيعية أو مصادر الوصول غير المعتادة |
| تحسين الخدمة | فهم الاستخدام | فحص الصفحات كثيرة المشاهدة وأوقات الوصول العالية |
السجلات آلية أساسية لحماية الخدمات. وفي الوقت نفسه، لأنها قد تحتوي معلومات عن سلوك المستخدم، فقد تصبح خطرًا على الخصوصية بحسب طريقة إدارتها.
السجلات التي تبقى في مواقع Web
عند الوصول إلى موقع Web، قد تبقى سجلات وصول في خادم Web.
تشمل سجلات الوصول النموذجية عنوان IP المصدر، ووقت الوصول، وHTTP method، وURL، ورمز الحالة، وUser-Agent، والمرجع، ومعلومات مشابهة.
مثال URL كما يلي.
مثال URL : https[:]//example.com/article/network-log
هنا، example.com نطاق مثالي يُستخدم كثيرًا للشرح.
في جهة موقع Web، حتى عندما يستخدم الاتصال HTTPS، يستلم الموقع مسار URL وسلسلة الاستعلام وCookie ومعلومات الطلب المرسلة. HTTPS آلية تجعل المحتوى أصعب قراءة على مسار الاتصال؛ ولا تمنع موقع Web الوجهة نفسه من تلقي معلومات الطلب.
لكن المعلومات التي يتلقاها خادم Web والمعلومات التي تُحفظ فعليًا كسجلات ليستا الشيء نفسه. قد تُسجل Cookie وجسم الطلب وبيانات مشابهة، وقد لا تُسجل، بحسب إعدادات الخادم والتطبيق.
| المعلومة | المحتوى | ملاحظة |
|---|---|---|
| وقت الوصول | متى حدث الوصول | قد يصبح مؤشرًا يُطابق مع سجلات أخرى بحسب الوقت |
| عنوان IP المصدر | أي عنوان IP اتصل | عبر CDN أو بروكسي، قد يكون المصدر المباشر خادمًا وسيطًا |
| URL | أي صفحة أو API جرى الوصول إليه | قد تتضمن سلسلة الاستعلام معرفات |
| User-Agent | نوع المتصفح وOS والتطبيق ومعلومات مشابهة | قد تصبح مادة لاستنتاج بيئة الاستخدام |
| Cookie | معلومات تعريف يخزنها الموقع في المتصفح ويستلمها منه | قد تُستخدم للتعرف إلى الزيارات المتكررة من المتصفح نفسه أو حالة تسجيل الدخول |
| المرجع | أي صفحة انتقل منها المستخدم | قد لا يُرسل، أو يُرسل جزء منه فقط، بسبب Referrer-Policy وآليات مشابهة |
| رمز الحالة | نتيجة الطلب | تظهر نتيجة المعالجة من 200 و301 و403 و404 و500 ورموز مشابهة |
عندما يستخدم موقع Web CDN أو موازن حمل أو بروكسي عكسي، قد يكون عنوان IP المصدر المرئي لخادم Web هو عنوان IP للخادم الوسيط لا للمستخدم الفعلي. في هذه الحالة، قد يُسجل عنوان IP الأصلي للعميل في ترويسات مثل X-Forwarded-For أو في سجلات جهة CDN.
السجلات التي تبقى في التطبيقات وأنظمة المصادقة
سجلات جهة الخادم لا تقتصر على سجلات وصول خادم Web.
قد تبقى أيضًا سجلات عن عمليات المستخدم وسلوك النظام في وظائف تسجيل الدخول، والدفع، وشاشات الإدارة، وAPI، وقواعد البيانات، وأدوات مراقبة الأخطاء، وأنظمة مشابهة.
مثلًا، قد تسجل خدمة تملك وظيفة تسجيل دخول معلومات مثل الآتية.
- تسجيل دخول ناجح
- تسجيل دخول فاشل
- تغيير كلمة المرور
- محاولة مصادقة ثنائية
- إصدار جلسة
- تغيير إعدادات الحساب
- الوصول إلى شاشة إدارة
قد تسجل الخدمات التي تقدم API أي endpoint تلقى طلبًا، ومن أي حساب أو عنوان IP، وفي أي وقت.
تُستخدم هذه السجلات لكشف تسجيل الدخول غير المصرح به، والاستيلاء على الحسابات، وإساءة استخدام الصلاحيات، والاستخدام غير الطبيعي لـ API، ومشكلات مشابهة.
سجلات قد تبقى لدى ISPs ومشغلي الشبكات
عند الاتصال بالإنترنت، يمر اتصال المستخدم عادة عبر شبكة ISP أو مزود الخط.
في جهة المزود، قد تبقى سجلات عن الاتصالات، مثل متى كان الخط المتعاقد عليه متصلًا، وأي عنوان IP خُصص له، وكمية الحركة التي حدثت.
في الخطوط المنزلية وخطوط المحمول، قد لا يكون عنوان IP المخصص للمستخدم ثابتًا، وقد يتغير مع الوقت. لذلك فإن معلومة "أي خط متعاقد كان يستخدم هذا IP في هذا الوقت" ترتبط بسجلات جهة المزود.
كذلك، في خطوط المحمول وبعض الخطوط الأخرى، قد تُستخدم آلية يشارك فيها عدد كبير من المستخدمين عنوان IP عالميًا واحدًا. في هذه الحالة، لا يرتبط تحديد الاتصال بعنوان IP وحده، بل قد ترتبط به معلومات مثل الوقت ورقم المنفذ.
لكن وجود سجلات لدى المزود، وقدرة أي شخص على رؤيتها بحرية، أمران منفصلان. سجلات ISP ومشغل الشبكة ليست عادة شيئًا يستطيع المستخدمون العاديون تفقده بحرية.
سجلات مرتبطة بـ DNS
عند الوصول إلى موقع Web، يحتاج المتصفح أو OS إلى تحويل اسم النطاق إلى عنوان IP. تسمى هذه الآلية DNS.
مثلًا، عند الوصول إلى URL الآتي، يبحث الجهاز عن عنوان IP الموافق لـ example.com.
مثال URL : https[:]//example.com
قد تحتفظ سجلات استعلامات DNS بمعلومة أي جهاز أو شبكة استعلمت عن أي اسم نطاق.
لا تسجل سجلات DNS نص صفحة Web نفسه. لكنها قد توضح معلومة "أي نطاق حاول شخص الوصول إليه".
ومن الملاحظات أن مكان تسجيل استعلامات DNS يتغير بحسب البيئة. إذا استخدمت DNS الخاص بـ ISP، قد يصل الاستعلام إلى محلل DNS التابع للمزود. أما إذا استخدم المتصفح أو OS محلل DNS آخر أو DNS مشفرًا، فتتغير جهة الاستعلام.
بعبارة أخرى، عند التفكير في سجلات DNS، يجب النظر إلى "أي محلل DNS جرى الاستعلام منه".
سجلات الموجّهات والجدران النارية
لا تبقى سجلات الاتصال في مواقع Web وISPs فقط.
قد تبقى أيضًا سجلات عن الاتصال في الموجّهات المنزلية، وأجهزة شبكات الشركات أو المدارس، والجدران النارية السحابية، وخوادم البروكسي، وبوابات ، وأنظمة مشابهة.
في شبكات المؤسسات، قد تُحفظ سجلات تبين أي جهاز اتصل بأي خادم خارجي ومتى. تُستخدم هذه السجلات للتحقيق في إصابات البرمجيات الخبيثة، والوصول غير المصرح به، وتسرب المعلومات، وإساءة الاستخدام الداخلية، ومسائل مشابهة.
وفي جهة الخادم أيضًا، قد توجد عدة سجلات مثل سجلات مصادقة OS، وسجلات الجدار الناري، وسجلات SSH، وسجلات التطبيق، وسجلات التدقيق السحابي.
مثلًا، تكون أنواع السجلات الآتية مهمة في إدارة الخوادم.
| نوع السجل | محتوى قد يُسجل | طريقة الاستخدام |
|---|---|---|
| سجل المصادقة | تسجيل دخول ناجح، تسجيل دخول فاشل، عنوان IP المصدر، ومعلومات مشابهة | فحص تسجيل الدخول غير المصرح به وهجمات التخمين |
| سجل الجدار الناري | الاتصالات المسموحة والمحظورة، رقم المنفذ، الوجهة، ومعلومات مشابهة | كشف الاتصال المشبوه والهجمات |
| سجل البروكسي | وصول الأجهزة الداخلية إلى مواقع خارجية | إدارة الاتصال الداخلي والتحقيق |
| سجل التدقيق السحابي | عملية إدارية، تنفيذ API، تغيير صلاحيات، ومعلومات مشابهة | تتبع تغييرات الإعدادات وإساءة استخدام الصلاحيات |
| سجل التطبيق | أخطاء، سجل عمليات، نتائج معالجة، ومعلومات مشابهة | الاستجابة للحوادث والتحقيق في إساءة الاستخدام |
بهذا الشكل، سجلات الاتصال ليست فقط "سجلات الوصول إلى موقع Web"؛ بل توجد عبر الشبكات والأنظمة ككل.
العلاقة بين HTTPS والسجلات
HTTPS آلية مهمة لتشفير المحتوى في الطريق والتأكد من أن طرف الاتصال هو الطرف المقصود.
لكن استخدام HTTPS لا يعني أن لا أحد يستطيع معرفة أي معلومات عن الاتصال.
الهدف الرئيسي الذي يحميه HTTPS هو المحتوى الذي قد يكون مرئيًا للأطراف الثالثة على مسار الاتصال. مثلًا، يصبح إدخال النماذج، ونص الصفحة، وكثير من ترويسات HTTP، ومسارات URL وسلاسل الاستعلام، ومحتوى مشابه، أصعب قراءة عادة على مسار الاتصال.
في المقابل، يفك خادم Web الوجهة تشفير الاتصال ويعالج الطلب. لذلك يستلم موقع Web عنوان URL المطلوب، وCookie، وUser-Agent، ومعلومات تسجيل الدخول، ومحتوى النموذج المرسل، ومعلومات مشابهة.
كذلك، حتى على مسار الاتصال، قد تُرصد معلومات مثل وقت الاتصال، وعنوان IP المصدر، وعنوان IP الوجهة، وحجم الحركة، وبعض معلومات اتصال TLS.
بعبارة أخرى، HTTPS مهم جدًا، لكنه ليس آلية تمحو كل مشكلات السجلات.
| الجهة المراقبة | معلومات قد تظهر | معلومات يصعب رؤيتها |
|---|---|---|
| جهة موقع Web | URL، Cookie، User-Agent، المحتوى المرسل، عمليات تسجيل الدخول، ومعلومات مشابهة | المحتوى الذي لا تريد إظهاره لأطراف ثالثة على مسار الاتصال |
| طرف ثالث على مسار الاتصال | IP المصدر، IP الوجهة، وقت الاتصال، حجم الحركة، ومعلومات مشابهة | نص الصفحة، محتوى النماذج، مسار URL وسلسلة الاستعلام، ومعلومات مشابهة |
| محلل DNS | اسم النطاق المستعلَم عنه، وقت الاستعلام، ومعلومات مشابهة | نص صفحة Web وتفاصيل العمليات المحددة |
| الموجّه والجدار الناري | الوجهة، حجم الحركة، نتيجة السماح أو الحظر، ومعلومات مشابهة | النص داخل HTTPS وكثير من ترويسات HTTP |
السجلات ليست سيئة بالضرورة
سجلات الاتصال معلومات تحتاج إلى الانتباه من منظور المجهولية والخصوصية. لكن السجلات نفسها ليست سيئة.
من دون سجلات، يصبح التحقيق في أسباب توقف الخوادم، وكشف الوصول غير المصرح به، والاستجابة للاستيلاء على الحسابات، والتحقيق في إصابات البرمجيات الخبيثة، وتشغيل الخدمات بثبات، أمورًا صعبة.
المهم هو لماذا تُحفظ السجلات، وما النطاق الذي يُسجل، وكم مدة الحفظ، ومن يستطيع الوصول إليها.
وجود السجلات وقدرة أي شخص على رؤيتها بحرية أمران منفصلان. السجلات المدارة بشكل مناسب معلومات مهمة لحماية الخدمات، لكن السجلات الزائدة أو سيئة الإدارة تصبح مخاطر على الخصوصية.
تصبح السجلات مؤشرات في المجهولية
عند التفكير في المجهولية، لا يكفي النظر إلى ما إذا كان المحتوى مشفرًا.
حتى عندما لا يمكن قراءة المحتوى، قد تُسجل معلومات مثل وقت الاتصال، وعنوان IP المصدر، والوجهة، واستعلامات DNS، وCookie، وUser-Agent، والمرجع، في أشكال أخرى.
قد لا تحدد هذه المعلومات فردًا مباشرة بمفردها. لكنها عندما تجتمع مع عدة سجلات، قد تصبح مادة لاستنتاج ما إذا كانت السجلات تبدو صادرة عن المستخدم نفسه، أو مسار الوصول، أو التسلسل الزمني للسلوك، أو شبكة المصدر، ومعلومات مشابهة.
| المعلومة | ما الذي قد يُعرف | ملاحظة في المجهولية |
|---|---|---|
| وقت الوصول | متى حدث الاتصال | قد يُطابق مع سجلات أخرى بحسب الوقت |
| عنوان IP | أي شبكة اتصلت | قد يصبح مادة لاستنتاج الخط أو المنطقة أو المؤسسة وما شابه |
| استعلام DNS | أي نطاق حاول شخص الوصول إليه | يصبح مؤشرًا إلى الوجهة حتى إذا لم يُعرف نص الصفحة |
| Cookie | هل جاء الوصول من المتصفح نفسه | قد يُستخدم للتعرف إلى الزيارات المتكررة أو حالة تسجيل الدخول |
| User-Agent | نوع المتصفح أو OS | قد يُعامل كخاصية لبيئة الاستخدام |
| المرجع | من أي صفحة جاء المستخدم | قد يُعرف جزء من مسار الانتقال |
| استعلام URL | قد يتضمن كلمات بحث أو معرفات أو معلومات جلسة وما شابه | إذا بقي في سجلات جهة الخادم، يصبح مؤشرًا إلى محتوى السلوك |
في المجهولية، "عدم قراءة المحتوى" و"عدم بقاء آثار الاتصال" ليسا الشيء نفسه.
حتى عندما يكون المحتوى مشفرًا، قد تبقى معلومات محيطة بالاتصال. لذلك يتطلب التفكير في المجهولية تنظيم ليس التشفير فقط، بل أيضًا أين وما أنواع السجلات التي قد تبقى.
خلاصة
سجلات الاتصال هي سجلات عن الاتصال.
قد تبقى أنواع متعددة من المعلومات المتعلقة بالاتصال في مواقع Web والتطبيقات وDNS وISPs والموجّهات والجدران النارية والبنية السحابية وأنظمة مشابهة.
تشمل المعلومات النموذجية وقت الوصول، وعنوان IP المصدر، وURL، وUser-Agent، وCookie، والمرجع، واستعلام DNS، والوجهة، وحجم الحركة، وسجل المصادقة، وسجل العمليات.
تُستخدم السجلات للاستجابة للحوادث، وتدابير الأمان، والتحقيق في إساءة الاستخدام، وتحسين الخدمة، وأغراض مشابهة. لذلك، السجلات نفسها آلية مهمة لتشغيل خدمات الإنترنت بأمان.
وفي الوقت نفسه، من منظور المجهولية، قد تصبح السجلات مؤشرات للتتبع. فحتى عندما يكون المحتوى مشفرًا، قد تُسجل معلومات مثل المصدر والوجهة والوقت واستعلامات DNS وCookie وUser-Agent بأشكال أخرى.
فهم أساسيات سجلات الاتصال يجعل تنظيم ما قد يُسجل على الإنترنت أسهل. وعند التفكير في المجهولية، يصبح ممكنًا النظر ليس فقط إلى ما إذا كان المحتوى مرئيًا، بل أيضًا إلى أين قد تبقى المعلومات المحيطة بالاتصال.