الانهيار الكامل.. عندما صمت الإنترنت داخل إيران

في 13 يونيو/حزيران 2025، اندلعت الحرب المباشرة بين إيران وإسرائيل، وسرعان ما تحوّلت جبهاتها إلى العالم الرقمي، وشهدت إيران انهيارًا متسارعًا في البنية التحتية للإنترنت وصل ذروته خلال الأسبوع الثالث من الشهر. فمع تصاعد الضربات العسكرية والهجمات السيبرانية المتبادلة، تراجع الاتصال بالشبكة تدريجيًا، قبل أن ينهار شبه كليًا فيما بدا أنه إغلاق رقمي ممنهج فرضته الدولة بالتزامن مع حملة هجمات إلكترونية واسعة النطاق استهدفت البلاد.

يعتمد هذا التقرير على تحليل بيانات مستقلة ومفتوحة المصدر من منصتين دوليتين متخصصتين في مراقبة الإنترنت؛ الأولى هي مبادرة مراقبة الإنترنت النشطة/IODA، وهي مشروع أكاديمي تابع لجامعة جورجيا في الولايات المتحدة، يُستخدم على نطاق واسع لرصد الانقطاعات الرقمية عبر تحليل مؤشرات مثل عدد عناوين IP المتصلة، واختبارات الاتصال النشطة. وتتميّز IODA بأنها ترصد الانقطاعات من خارج الشبكة، ما يمنحها مصداقية عالية في البيئات القمعية.

قبل الهجوم الإسرائيلي أقدمت إيران على تقييد الاتصال بالإنترنت كإجراء دفاعي

المنصة الثانية هي Cloudflare Radar، وهي أداة تحليلية متقدمة توفّرها شركة Cloudflare العالمية، وتُستخدم لقياس حركة البيانات، والتغيرات في استخدام البروتوكولات، وتوازن النشاط بين المستخدمين والبوتات، وأنماط الاتصال على الأجهزة المحمولة مقابل المكتبية. وتُعد مصدرًا موثوقًا لرصد التحولات التقنية على مستوى الدول والمناطق.

يغطي التقرير الفترة الممتدة من 1 إلى 21 يونيو/حزيران 2025 للمقارنة بين حالة الإنترنت في الأيام التي سبقت الحرب، وما تلا اندلاعها في منتصف الشهر، إذ شهدت إيران تصعيدًا في الحرب التقليدية والسيبرانية انعكس مباشرة على حالة الإنترنت وحياة المواطنين.

كيف بدأت إيران إغلاق الإنترنت تدريجيًا؟

منذ بداية الشهر رُصدت مؤشرات رقمية لتحولات غير مسبوقة في حالة الإنترنت داخل إيران، بالتزامن مع اندلاع الحرب مع إسرائيل. 

يشير الرسم البياني إلى أنه في بداية الشهر كان الإنترنت متاحًا نسبيًا، مع وجود انخفاضات ليلية روتينية.

فيما يشير تذبذب مؤشرات Google بشكل يومي بين 30% و80% إلى نمط نهاري-ليلي معتاد، لا حجبًا بالضرورة. في الوقت نفسه، بدأ عدد الأجهزة المتصلة يتراجع تدريجيًا، ما يعكس إما فقدان المستخدمين للاتصال أو امتناعهم عن استخدام الشبكة بسبب بطئها أو خشية المراقبة.

ومع بدء الضربات الإسرائيلية في 13 يونيو، دخلت البلاد مرحلة اضطراب رقمي أشد، وشهدت مؤشرات الاستخدام الثلاثة (Google، IP، Probing) تدهورًا سريعًا، مع انقطاعات متزايدة وتراجعًا واضحًا في النشاط الشبكي.

كل ذلك يشير إلى استعداد حكومي لتقييد الاتصال كإجراء دفاعي، إما بهدف حجب مواقع أو خدمات أو منع تسريب بيانات المستخدمين داخل إيران، أو لتأمين البنية السيبرانية من الهجمات. وفي 18- 19 يونيو انهار الإنترنت تقريبًا، إذ وصلت المؤشرات البنفسجية والبرتقالية والزرقاء إلى مستويات قريبة من الصفر.

وحده مؤشر BGP بقي مستقرًا، ما يعني أن الشبكة لا تزال "مرئية" للعالم من الناحية النظرية، لكنها مفصولة فعليًا عن المستخدمين داخل إيران. هذا ما يُعرف بالحجب الرقمي الكامل، الذي وظّفته السلطات الإيرانية سلاحًا دفاعيًا، لإغلاق المجال الرقمي بالكامل في وجه الداخل، دون التسبّب في انفصال دولي.

لاحقًا في 20- 21 يونيو، بدأت مؤشرات الاتصال الرقمي في إيران تُظهر تحسنًا تدريجيًا. عادت بعض خدمات Google للعمل، كما زاد عدد الأجهزة المتصلة نسبيًا، وبدأت أدوات الرصد الخارجية تلتقط إشارات من شبكات إيرانية كانت قد اختفت. لكن هذه العودة لم تكن شاملة، بل بدت عملية مراقبة دقيقة، وربما جزئية، تعكس رغبة الدولة في استعادة السيطرة دون رفع الحجب بالكامل.

تؤكد أيضًا بيانات Cloudflare Radar هذه التحولات من زاوية أخرى، من خلال تتبع حجم البيانات المتبادلة عبر الإنترنت داخل إيران. مع الهجوم العسكري، انخفض حجم البيانات بشكل حاد. واستمر التراجع حتى يوم 16، ثم دخلت الشبكة مرحلة اضطراب شديد في 17 و18، وشهد 17 يونيو انقطاعات متقطّعة (ثلاثة شرائط برتقالية)، أمّا الانقطاع شبه الكامل فبدأ مساء 18 يونيو، قبل أن تنهار فعليًا في 19 يونيو، في ما يُعرف بالانقطاع شبه الكامل (Near-total Blackout). 

الانقطاعات الإقليمية للإنترنت في إيران

تعرض هذه الخريطة التفاعلية الصادرة عن مزوّد بيانات الإنترنت IODA توزيع انقطاعات الإنترنت داخل إيران خلال الفترة المعنية. وتعتمد على مقياس شدة الانقطاع/Outage Severity Score الذي يقيس حجم الشبكات‎ المتأثرة ونسبة الانخفاض في إشارات IODA، فيُقِّدر العدد التقريبي لعناوين الشبكات المتضررة، لا عدد المستخدمين الأفراد، مما يوفّر لمحة بصرية فورية عن التفاوت الجغرافي في تعرّض المحافظات الإيرانية للانهيار الرقمي.

تُظهر الخريطة أن المحافظات الأكثر تأثرًا بالانقطاع الحاد في وسط البلاد وجنوبها مثل طهران، أصفهان، شيراز، الأهواز، كرمان، كرمانشاه، يزد، وقُم. وهذه المناطق تُعد مراكز حضرية واقتصادية رئيسية، وتحتوي على مؤسسات الدولة ومراكز البحث والجامعات والبنية السيبرانية الحيوية، ما يعني أن مراكز الكثافة السكانية والاقتصادية كانت الأكثر تضررًا، سواء بفعل الاستهداف أو بسبب تمركز البنية التحتية بها.

في المقابل، تُظهر محافظات شرق إيران وشمالها الشرقي (مثل مشهد، زاهدان، وبيرجند) درجات أقل من الانقطاع، ما قد يُعزى إلى عدة عوامل مثل ضعف الاعتماد على الإنترنت في هذه المناطق مقارنة بالمراكز الحضرية أو أن هذه المناطق لم تكن ضمن الأولويات المباشرة للهجمات السيبرانية أو إجراءات الحجب الحكومية.

يمكن تفسير ظهور طهران في مقدمة المناطق الأعلى انقطاعًا بالتوجه الرسمي لإغلاق الإنترنت بشكل وقائي لمنع تسريب المعلومات، أو قد يكون نتيجة مباشرة لهجمات مركّزة استهدفت البنية التحتية في العاصمة.

كما يمكن أن يكون هناك احتمال أنّ طهران تُسجِّل قيمة مرتفعة جزئيًا لأن لديها أكبر عدد من الشبكات/المستخدمين؛ ما يجعل "درجة الشدة" مضخَّمة مقارنة بمحافظة أقل سكانًا حتى لو تعرضتا للنسبة نفسها من الحجب.

تراجع الإنترنت المحمول

امتدّ الانهيار الرقمي إلى قلب البنية التحتية اليومية للمواطنين؛ الإنترنت المحمول.

تُظهر بيانات Cloudflare Radar المقارنة بين استخدام الأجهزة المكتبية والمحمولة؛ أن أجهزة الهاتف المحمول تكاد تكون قد اختفت من المعادلة الرقمية خلال الأسبوع الثالث من يونيو.

وفقًا للبيانات، لم تتجاوز نسبة استخدامها 7.8%، وهو ما يُظهر اختلالًا حادًا لم يكن موجودًا قبل الحرب. كما يشير الانخفاض إلى احتمال تعطيل أو تقييد شبكات المحمول؛ لا يمكن الجزم إن كان نتيجة قرارات حكومية أم ضرر تقني ناتج عن الهجمات.

هذا الاختفاء تزامن مع تصاعد الهجمات العسكرية والسيبرانية على طهران بعد 13 يونيو، وهو ما يُعزّز فرضية أن السلطات الإيرانية سعت إلى تقليل المخاطر الرقمية عبر منع الاتصال المفتوح. كما أطلقت السلطات حملات تدعو إلى حذف تطبيقات مثل واتساب وإنستجرام، بدعوى استخدامها في تتبع الأفراد.

رغم الحجب شبه الكامل، بقيت نسبة استخدام الحواسيب المكتبية مرتفعة على نحو لافت، التي قد تشمل خواديم وبوتات وأجهزة مؤسسية؛ لذلك قد تبقى حصته مرتفعة حتى مع انخفاض الاتصال الفعلي للمستخدمين. ما قد يشير إلى أن الشبكة لم تكن متاحة للجمهور العام، بل استُخدمت لأغراض مؤسسية، رقابية، أو عبر قنوات حكومية محصورة.

الروبوتات تتحدث والبشر يختفون

بينما كانت الحرب بين إيران وإسرائيل تشتد، كانت الشبكة الإيرانية تخضع لتحوّل جذري؛ تلاشى الوجود البشري واحتلت الروبوتات الرقمية/البوتات الفضاء الإلكتروني.

بلغت نسبة حركة الإنترنت الصادرة عن مصادر آلية 81.1%، مقابل 18.9% فقط من المستخدمين الفعليين.

وفي حين تأرجحت نسبة النشاط البشري بين 20-25% في النصف الأول من يونيو، بدأت هذه الأرقام في الانهيار التدريجي بعد 13 يونيو. وبحلول 17 يونيو، كانت البوتات تشكل أكثر 90% من مجمل الحركة، وفي الأيام التالية اختفت تقريبًا (أقل من 1%) أي مؤشرات على استخدام بشري طبيعي.

في الفترة ما بين 18 و20 يونيو، حين وصلت الحرب إلى ذروتها والانهيار الرقمي إلى أقصاه، تحوّلت الشبكة إلى مسرح تفاعلات آلية بالكامل. الخوادم تتبادل البيانات، لكن البشر غائبون. وفي 21 يونيو، مع بداية عودة الاتصال، عادت نسبة خجولة من المستخدمين الفعليين إلى الشبكة، لكن البوتات ظلّت المسيطرة بلا منازع.

ارتفاع نسبة حركة البوتات بهذا الشكل الحاد لا يمكن قراءته إلا علامة على أحد الاحتمالات؛ إما أن الدولة الإيرانية منعت فعليًا أي اتصال بشري، تاركة المجال مفتوحًا فقط للأنظمة الأمنية والمؤسساتية، أو أن الشبكة كانت تعمل فقط على المستوى الخلفي، إذ تظل العمليات التقنية مستمرة دون إتاحة الوصول للمواطنين.

أو أن جزءًا من هذه البوتات قد لا يكون إيرانيًا أصلًا، بل يكون تابعًا لأطراف خارجية؛ جهات مراقبة، شركات تحليل بيانات، فرق استخبارات، أو حتى أدوات هجومية سيبرانية.

ما يُلفت النظر في الرسم البياني هو التفاوت الحاد بين استقرار منحنى البوتات وتقلب حركة البشر. بينما ظلت حركة البرمجيات المؤتمتة منتظمة ومرتفعة، انهارت حركة المستخدمين البشريين فجأة بين 17 و20 يونيو. حتى في 21 يونيو، لم تتجاوز نسبة العودة البشرية 15% تقريبًا، ما يشير إلى أن العودة لم تكن شاملة، بل محصورة بفئات محددة.

تُظهر البيانات كذلك ذروةً في حركة البوتات بين 18 و19 يونيو، حين غطّت أكثر من 95% من النشاط. ذلك لأن حركة البشر تكاد تنعدم، لا لأن الطلبات الآلية ازدادت بالضرورة.

الهجمات التصاعدية

يعرض الرسم البياني السابق تغيرات في نسبة الهجمات الإلكترونية التي استهدفت طبقة التطبيقات/Application Layer في إيران.

يشير المصطلح إلى الهجمات التي تستهدف مباشرة واجهات الخدمات الرقمية ومواقع الإنترنت، مثل محاولة إسقاط مواقع إلكترونية، أو إغراقها بطلبات كاذبة، أو استغلال ثغرات في البرمجيات، بعيدًا عن استهداف البنية التحتية العامة.

تبدأ الهجمات في التصاعد من يوم 13 وحتى17 يونيو بشكل متدرّج ولكن واضح، ما يشير إلى دخول طرف أو أطراف جديدة على خط المواجهة الرقمية. هذا التصاعد يُحتمل أن يكون مرتبطًا بمجموعات اختراق مدعومة من دول أو منظمات ناشطة سياسيًا، سواء من داخل إيران أو من الخارج.

في 17 و18 يونيو، تبلغ الهجمات ذروتها، ويُسجل الرسم نمطًا متذبذبًا ولكن عنيفًا. هذا التذبذب قد يُقرأ كمؤشر على حملات اختراق متكررة وسريعة تتخللها فترات توقف قصيرة، إما بسبب نجاح أنظمة الدفاع في صدّها، أو بسبب إعادة توجيه المهاجمين إلى أهداف جديدة.

غير أن المفارقة تأتي في 19 و20 يونيو، حيث يكاد ينعدم النشاط الهجومي. وهو ما يُفسّر بانهيار الإنترنت نفسه داخل إيران نتيجة الحجب الكامل، ما خفّض ببساطة القدرة على رصد وقياس الهجمات، أو بنجاح السلطات في إغلاق نقاط الضعف التي كانت تُستغل أو لأن الانقطاع الشامل للإنترنت كما لا يُستبعد أن يكون المهاجمون قد غيّروا استراتيجيتهم أو وجّهوا أدواتهم نحو أهداف أخرى.

في 21 يونيو، تبدأ الهجمات بالظهور مجددًا، ولكن بشكل محدود، ما يعكس أن البيئة الرقمية عادت للحياة لكنها لم تخرج من دائرة التهديد.

خريطة الهجمات السيبرانية المنطلقة من إيران

تعرض هذه الخريطة من Cloudflare Radar الوجهات الجغرافية التي استهدفتها الهجمات الرقمية المنطلقة من إيران، تحديدًا تلك التي ركزت على طبقة التطبيقات.

الولايات المتحدة كانت الهدف الأول لهذه الهجمات بنسبة 42%، وهي نسبة ضخمة تعكس على الأرجح محاولة إيرانية منظمة لتعطيل مواقع ومنصات رقمية أمريكية يُعتقد أنها ذات أهمية استراتيجية، سواء إعلامية أو تقنية أو حكومية.

ما يؤكد على أولوية المواجهة الرقمية بين طهران وواشنطن، والتي تمثل جانبًا ثابتًا من العلاقات العدائية بين البلدين.

في المرتبة الثانية جاءت فرنسا بنسبة 11%، ما يُشير إلى احتمالية استهداف خوادم أو مزودين فرنسيين أو حتى منصات إعلامية أو سياسية. يليها كل من تركيا (8.1%) وهولندا (3.8%)، وهو ما يعكس تنوّع الوجهات الأوروبية التي كانت تحت الاستهداف، ربما بسبب استضافتها لبنية تحتية رقمية حيوية أو لخدمات يستخدمها معارضون إيرانيون. وقد تُعزى الأرقام إلى وجود قدر كبير من محتوى Cloudflare أو نقاط تبادل الإنترنت في تلك الدول.

يَعكس ظهور مصر ‎(3.3 %)‎، تايلاند ‎(2.8 %)‎، أستراليا ‎(2.3 %)‎، والصين ‎(2.2 %)‎ وإندونيسيا (1.8%) وأوكرانيا (1.4%) في القائمة اتساع النطاق الجغرافي للهجمات ليشمل وجهات خارج محور الصراع المباشر؛ ويرجّح أن هذه النسب ترتبط بخواديم أو خدمات مستضافة في تلك البلدان تمتلك ثغرات أمنية أو يستعملها مستخدمون إيرانيون، من دون أن يعني ذلك بالضرورة توظيفها كـبوّابات لإخفاء المصدر.

مصادر الهجمات على إيران

تُظهر هذه الخريطة الصادرة عن Cloudflare Radar النشاط الرقمي الذي استهدف إيران في طبقة التطبيقات، والذي يأتي من عناوين IP يُسنَد موقعها إلى فرنسا (نحو 92%) تليها أيرلندا (نحو 8.3%).

ويرجَّح أن هذا التركز يعكس كثافة مراكز البيانات وخدمات الاستضافة السحابية في هاتين الدولتين، أكثر مما يعكس دوافع جيوسياسية مباشرة.

يثير هذا التوزيع أسئلة حول الجهات التي تستأجر هذه البنى التحتية، وكيفية استغلالها لإطلاق الهجمات، إضافةً إلى الدوافع التقنية أو السياسية وراء استهداف إيران.

ففي فرنسا يرجَّح أن هذا الهجوم يرتبط باستخدام مراكز البيانات وشبكات الاستضافة الواسعة داخل الأراضي الفرنسية من قِبل جهات متنوّعة مثل مجموعات قرصنة أو أطراف غير حكومية أو حتى فاعلين أجانب يستأجرون خواديم هناك، من دون أن يعني بالضرورة تورّطًا رسميًّا فرنسيًّا في الهجمات. كثافة البنية التحتية السحابية في فرنسا تجعلها كثيرًا ما تظهر كبلد مصدر في سجلات الرصد، حتى عندما يكون الفاعل الحقيقي خارجها.

فيما يمكن تفسير حلول أيرلندا في المركز الثاني كونها تستضيف عددًا كبيرًا من مراكز بيانات وخدمات سحابية عالمية يمكن لجهات مختلفة، من خارج أيرلندا أو داخلها، استئجار موارد افتراضية تُستخدم في شنّ الهجمات. لذلك لا يعني ظهور أيرلندا في هذا الموضع بالضرورة تورّط جهات حكومية أو أمنية أيرلندية، بل يعكس على الأرجح استغلال بناها التحتية السحابية المتاحة تجاريًّا.

تكشف البيانات التي استعرضها هذا التقرير أن ما جرى في إيران كان أكثر من مجرد اضطراب عابر في خدمات الإنترنت. لقد مثّلت هذه الفترة حالة استثنائية في تاريخ الاتصال الرقمي في المنطقة، حيث تداخلت الاعتبارات الأمنية والعسكرية مع إدارة الفضاء الرقمي في لحظة صراع مفتوح مع إسرائيل.

وهو محاولة لفهم كيف يتفاعل الفضاء الرقمي مع الديناميكيات السياسية والعسكرية في لحظات الأزمات، وكيف تُدار الشبكات بوصفها جزءًا من منظومة الأمن القومي. ويبقى السؤال المطروح عالميًا كيف يمكن موازنة ضرورات الأمن مع الحقوق الرقمية الأساسية، في زمن لم يعد فيه الإنترنت مجرد أداة للتواصل، بل ساحة صراع؟