التنصت على الشبكات: شرح وأدوات وحماية 2025-v1

التنصّت على الشبكة (أو Sniffing) يعني إن حد بيقرأ حركة المرور (packets) اللي بتمر بين الأجهزة على الشبكة. لو البيانات مش مشفّرة كويس، المهاجم يقدر يشوف المحتوى أو يعدّله. المقال ده هيشرحلك كل حاجة بطريقة عملية: إزاي التنصّت بيحصل، إيه اللي بيتكشف، إزاي تختبر شبكتك بنفسك، وإزاي تحمي البيئة بتاعتك دفاع طبقي (Defense-in-Depth).

يعني إيه Sniffing؟ ​

Sniffing = التقاط حزم الشبكة (packets) وتحليلها. الهدف: تفهم إيه اللي بيتبادل بين طرفين (زي متصفح وموقع، أو تطبيق وقاعدة بيانات).
في الشبكات القائمة على switches الحديثه، المهاجم مش هينجح بسهولة إلا لو قدر يحط نفسه في المسار (On-Path). الطرق دي بتشمل: ARP spoofing، عمل Evil Twin Wi-Fi، استغلال نقاط ضعف في الـ Wi-Fi، أو حتى وسطاء محليين (Proxy/Agent) منصّبين على الجهاز.

إزاي التنصّت بيحصل عمليًا؟ ​

الطرق الشائعة اللي بيستخدمها المهاجم علشان يلتقط حركة المرور:

• ARP Spoofing / ARP Poisoning: يغيّر ربط الـ IP↔MAC على الشبكة عشان يوجّه المرور عبر جهازه.
• MAC Flooding: يغرق جدول الـ CAM على السويتش، فيتحول السلوك مؤقتًا لـHub والمرور يبقى متاح لكل المنافذ.
• Evil Twin (نقطة وصول مزيفة): يعمل AP بنفس اسم شبكتك ويجذب الأجهزة تتصل بيه.
• Port-Mirror / SPAN مفعّل أو موظف خبيث فعلّه عشان ينسخ المرور لنقطة مراقبة.
• Agent/Local Proxy منصّب على الجهاز: الأخطر - حتى لو الجلسة TLS، ممكن تحط شهادة جذر مزروعة وتكسر التشفير.

المحصلة: لو مش بيتم تشفير الطرف-لطرف صح، المهاجم ممكن يشوف المحتوى أو يغيّره.

---

إيه اللي ممكن يتكشف؟ (قابلية الرؤية) ​

• دون تشفير: المحتوى كامل ممكن يظهر - عناوين URL، بيانات دخول، محتوى الرسائل (HTTP, FTP, Telnet, POP3).
• تشفير جزئي: الميتاداتا متاحة - عناوين IP، المنافذ، توقيت الاتصال، أحجام الحزم، وأحيانًا اسم المضيف الظاهر في SNI لو مش مفعّل ECH.
• TLS 1.3 + HTTPS: المحتوى مشفّر، لكن بعض الميتاداتا الشبكية لسه مرئية. لو الجهاز نفسه مخترق، المهاجم ممكن يلتقط قبل أو بعد التشفير.

مختبر آمن علشان تتعلم (على شبكتك فقط) ​

إمتى تختبر؟ بس على شبكتك أو بيئة اختبارية - ممنوع تعمل ده على شبكات ناس تانية.

مثال عملي: التقط حركة جهازك بـ tcpdump​

# التقط حركة جهازك فقط (غيرّل IP وواجهة الشبكة حسب حالتك)

sudo tcpdump -i eth0 -n host 192.168.1.50 -w your_traffic.pcap

افتح your_traffic.pcap بـ Wireshark وبص للفلاتر دي:

• dns - استفسارات DNS
• tls.handshake - تفاوض TLS (الإصدارات، الشهادات)
• http.request - لازم يبقى شبه معدوم لو كل المواقع HTTPS-Only
• dhcp - علشان تشوف توزيع العناوين

تأكد إن المواقع الحساسة مش بتظهر كـ HTTP نص عادي، وإن البروتوكولات القديمة (FTP/Telnet) مش مستخدمة.

---

اتأكد من صلابة التشفير ​

في Wireshark افتح جلسة TLS/QUIC وشوف:

• هل الجلسة TLS 1.3 أو HTTP/3 (QUIC)؟ دول الأفضل.
• راجع سلسلة الشهادات: الـ CA لازم تكون معروفة ومعقولة. ظهور CA داخلية غير متوقعة ممكن يكون علامة على SSL Interception.
• وجود بروتوكولات قديمة (SSLv3/TLS1.0) أو خوارزميات بلا PFS يعني ممكن تقرأ الجلسة لو انكشف المفتاح الرئيسي لاحقًا - احتياط مهم.

مؤشرات خطر (IOCs) بتدل على وجود Sniffing / MITM ​

• تغيّر مفاجئ في جداول ARP (نفس IP مربوط بـMAC مختلف).
• وجود شهادات TLS غير مألوفة أو CA داخلية ظهرت فجأة.
• تنبيهات من EDR / IDS عن ARP replies مش متوقعة أو زيادة في gratuitous ARP.
• ارتفاع استعلامات DNS باتجاه محلّل غير معروف.
• في الواي-فاي: عملاء يتصلوا بـ SSID نفس الاسم لكن BSSID مختلف (Evil Twin).

---

دفاع طبقي (Defense-in-Depth) - نصايح عملية ​

للمستخدم/المنزل:​

• فعل WPA3-SAE أو على الأقل WPA2 قوي، وعطّل WPS.
• فعل PMF / 802.11w لحماية إطارات الإدارة.
• كلمة سر Wi-Fi طويلة (12–16+ عشوائية).
• شبكة ضيوف مع Client Isolation.
• فرض HTTPS-Only في المتصفح، واستخدام DoH / DoT أو VPN عند الشبكات العامة.
• حدّث الراوتر، وعطّل الإدارة عن بُعد، وغيّر بيانات الدخول الافتراضية.
• أمّن الأجهزة: عطّل الاتصال التلقائي بشبكات مفتوحة، امسح شبكات قديمة.

للمؤسسات:​

• 802.1X / EAP-TLS لفرض الهوية قبل الوصول.
• مفاتيح السويتش: DHCP Snooping, Dynamic ARP Inspection (DAI), IP Source Guard, Port Security.
• micro-segmentation وتقليل البث broadcast.
• إجبار خدماتك على TLS 1.3، ودعم mTLS حيث يلزم، وتفعيل HSTS.
• رصد بالشبكة: NDR (Zeek/Suricata), NetFlow/IPFIX, وEDR على الأجهزة.
• راقب شهادات TLS الصادرة لمجالك عبر تقارير Certificate Transparency لاكتشاف SSL Interception غير مصرّح.
• NAC لرفض أجهزة غير مُدارة.
• على مستوى فيزياوي: أقفل منافذ السويتش وتدقيق تغييرات SPAN/Port-Mirror.

---

استجابة سريعة لو اشتبهت في MITM (Mini-Playbook) ​

1. عزل الـ VLAN أو المنفذ المشتبه (VLAN Quarantine).
2. جمع أدلة: PCAP من نقطة موثوقة + جداول ARP من أجهزة مختلفة + لقطات شهادة TLS.
3. افحص السويتش: سجلات DAI/DHCP Snooping/Port-Mirror - من فعّل إيه؟ إمتى؟
4. بدّل كلمات مرور الشبكة وأجهزة البنية التحتية.
5. أعد توزيع عناوين DHCP لو فيه لعب.
6. بلغ المستخدمين وفرض VPN مؤسسي مؤقتًا.
7. حدّث السياسات ودرّب الفريق على المؤشرات.

---

خرافات شائعة (Myths vs Facts) ​

• "HTTPS يخفي كل حاجة" - غلط: HTTPS يخفي المحتوى لكن مش كل الميتاداتا؛ SNI أو معلومات الشبكة تظل مرئية إلا مع ECH وQUIC.
• "السويتشات تمنع التنصّت تمامًا" - مش بالضرورة؛ هجمات ARP/Port-Mirror وغيرها تتجاوز الحماية لو ما اتطبقتش الضوابط.
• "VPN يحل كل المشاكل" - VPN بيساعد ضد MITM في المسار، لكنه مش يحل لو الجهاز نفسه مخترق.

---

قائمة تدقيق سريعة (Checklist) ​

• تعطيل WPS، تفعيل WPA3/PMF
• تغيير كلمات مرور الراوتر ولوحة التحكم الافتراضية
• تحديث Firmware دوريًا
• فرض HTTPS-Only وسياسات TLS حديثة
• تفعيل DoH/DoT أو استخدام VPN عند الحاجة
• تطبيق 802.1X، DAI، DHCP Snooping، Port Security
• مراقبة شهادات TLS واكتشاف أي CA غير مألوفة
• تدريب الموظفين على مخاطر Evil Twin والشبكات العامة

خلاصة سريعة ​

التنصّت مش سحر - هو نتيجة غياب تشفير صحيح أو نجاح مهاجم في وضع نفسه داخل المسار. بتطبيق دفاعات طبقية، تشفير حديث، ومراقبة ذكية، تقدر تقلّص السطح الهجومي وتحمي بياناتك كويس.