التنصّت على البيانات (Sniffing): كيف يحدث؟ ماذا يكشف؟

التنصّت على البيانات (Sniffing): كيف يحدث؟ ماذا يكشف؟ وكيف نحمي أنفسنا؟

ما هو التنصّت؟​

هو التقاط حركة مرور الشبكة (Packets) لفهم ما يتبادله الطرفان. في الشبكات الحديثة (المبدّلة Switches) يحتاج المهاجم غالبًا إلى الوصول لمسار الاتصال (On-Path) عبر أساليب مثل:
انتحال ARP (يحوّل المرور عبر جهازه)
نقاط وصول Wi-Fi ضعيفة أو مزيفة
مصادِر داخلية
(تفعيل SPAN/Port-Mirror من موظف خبيث)
أجهزة منزلة على المضيف (Agent/Proxy خبيث)
الفكرة الأساسية: إن لم تكن البيانات مشفّرة جيدًا من الطرف للطرف، فالمحتوى القابل للقراءة يمكن رؤيته أو تعديله.

ماذا يمكن أن يُكشف؟​

بلا تشفير: عناوين URL، بيانات تسجيل الدخول
(Telnet/FTP/POP3/HTTP)، محتوى الرسائل.
مع تشفير جزئي: الميتاداتا (عناوين IP، المنافذ، توقيت وتواتر الاتصالات، اسم المضيف الظاهر في SNI بغياب ECH، حجم الحزم).
TLS 1.3 + HTTPS: المحتوى مشفّر، لكن بعض الميتاداتا ما زالت مرئية على الشبكة (ليس على الجهاز نفسه إن كان مصابًا).

مختبر آمن لتتعلم (على شبكتك فقط)​

هذه الخطوات تعليمية دفاعية لفهم ما يظهر لشخص يلتقط حركة جهازك أنت داخل معمل منزلي:
tcpdump (التقاط حركة جهازك)
التقط فقط حركة جهازك لمراجعة ما يُرسل وكيف يبدو عند التشفير.
# التقط جلسات جهازك فقط (استبدل IP بعنوان جهازك)
sudo tcpdump -i eth0 -n host 192.168.1.50 -w your_traffic.pcap
افتح الملف ببرنامج Wireshark وشاهد:
فلاتر عرض مفيدة:
dns - استفسارات DNS (هل هي مشفّرة؟)
tls.handshake - تفاوض TLS (الإصدارات والشهادات)
http.request - يجب أن تكون شبه معدومة إن كنت تفرض HTTPS-Only
dhcp - لمن يرى عناوين IP الموزعة
تحقق أن المواقع الحساسة لا تظهر لها Requests بنصٍ واضح (HTTP)، وأن البروتوكولات القديمة (FTP/Telnet/POP3) غير مستخدمة.

التحقق من صلابة التشفير
في Wireshark انقر جلسة TLS/QUIC:
TLS 1.3 أو HTTP/3 (QUIC) مفضلان.
راقب سلسلة الشهادات: المُصدِّر (CA) يجب أن يكون معروفًا ومناسبًا—ظهور CA داخلية غير متوقعة علامة اعتراض (SSL Interception) غير مصرح.
معلومة ذهبية: وجود بروتوكولات قديمة مثل SSLv3/TLS 1.0 أو خوارزميات بلا PFS يشير لإمكان قراءة الجلسات لاحقًا إن كُشف المفتاح الرئيسي.

كيف يُصبح التنصّت ممكنًا رغم السويتش؟​

ملخص أساليب وضع المهاجم نفسه في المسار:
ARP Spoofing/Poisoning: يزيف ربط IP↔MAC ليعبر المرور عبره.
MAC Flooding: إغراق جدول CAM على السويتش، فيتحول لسلوك أقرب لـHub مؤقتًا.
Evil Twin Wi-Fi: نقطة وصول مزيفة باسم شبكتك تجذب الأجهزة.
وكيل على الجهاز (Local Proxy/Agent): الأخطر—حتى TLS قد يُكسر بشهادة جذر مزروعة محليًا.
> هذه الأساليب تُكشف وتُمنع بإعدادات على السويتش/الواي-فاي والمضيف كما في الأقسام التالية.

مؤشرات خطر (IOCs) تدل على وجود Sniffing/MITM​

تغيّر مفاجئ في جدول ARP على الأجهزة:
نفس عنوان الـIP مرتبط بـMAC مختلف أو بالعكس.
ظهور CA غير متوقعة في شهادات TLS داخل المتصفح.
تنبيهات EDR/IDS عن ARP Replies غير مطلوبة أو زيادات كبيرة في gratuitous ARP.
ارتفاع استعلامات DNS باتجاه مُحلّل غير معهود.
في الشبكات اللاسلكية: أجهزة عميلة تتصل بنقطة وصول ذات قوة إشارة أعلى ولكن بنفس الـSSID وبـBSSID مختلف غير معروف.

دفاع طبقي (Defense-in-Depth)​

للمستخدمين/المنزل:
WPA3-SAE (أو WPA2-PSK قوي + تعطيل WPS)، وفعل PMF/802.11w لحماية إطارات الإدارة.
كلمة مرور Wi-Fi طويلة (12–16+ عشوائية)، وشبكة ضيوف مع عزل العملاء (Client Isolation).
تفعيل وضع HTTPS-Only في المتصفح، وتجنب HTTP.
DNS مُشفّر (DoH/DoT) أو VPN عند الشبكات العامة.
تحديث الراوتر وتعطيل الإدارة عن بُعد، وتغيير كلمة مرور لوحة التحكم الافتراضية.
على الهاتف/اللابتوب: عطّل الاتصال التلقائي بشبكات مفتوحة، وامسح الشبكات القديمة.
للمؤسسات:
802.1X / EAP-TLS لفرض الهوية قبل الوصول للشبكة.
ميزات السويتش: DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, Port Security.
Micro-segmentation وتقليل البث (Broadcast) غير الضروري.
TLS 1.3، أجبر HSTS على خدماتك، وادعم mTLS حيث يلزم.
استخدم EDR + NDR (Zeek/Suricata) لمراقبة أنماط الشبكة، وNetFlow/IPFIX لتحليل السلوك.
راقب شهادات TLS الصادرة لمجالك عبر تقارير CT، واكشف أي SSL Interception غير مصرّح.
NAC لرفض أجهزة غير مُدارة/غير محدثة.
على الطبقة الفيزيائية: قفل منافذ السويتش، وتتبع تغييرات SPAN/Port-Mirror عبر سجلات وتدقيقات.

استجابة سريعة عند الاشتباه (Incident Mini-Playbook)​

1. اعزل القطاع/المنفذ المشتبه به (VLAN Quarantine).
2. جمّع أدلة: PCAP قصير من نقطة مراقبة موثوقة + جداول ARP من عدة أجهزة + لقطات شهادة TLS.
3. افحص السويتش: سجلات DAI/DHCP Snooping/Port-Mirror—من فعّل ماذا ومتى؟
4. بدّل كلمات المرور الحساسة (Wi-Fi، أجهزة الشبكة، البوابات).
5. أعد توزيع العناوين (Lease Reset) إن كان هناك عبث بـDHCP/ARP.
6. بلّغ المستخدمين بتجنّب الشبكات المفتوحة مؤقتًا، وفرض VPN مؤسسي.
7. درّب الفريق على مؤشرات MITM، وحدّث السياسات لسد الفجوة التي سمحت بالحادث.

مفاهيم مغلوطة شائعة (Myths vs Facts)
"HTTPS يخفي كل شيء"
يخفي المحتوى لكنه لا يخفي بالكامل الميتاداتا (مثل الوجهة، وأحيانًا اسم المضيف عبر SNI ما لم يُستخدم ECH).
"الشبكات المبدلة تمنع التنصّت تمامًا"
تمنعه افتراضيًا، لكن هجمات ARP/Port-Mirror/Agent محلي تتجاوزه.
"VPN دائمًا يحل المشكلة"
يحمي ضد تنصّت الشبكة الوسيطة، لكن إن كان الجهاز مخترقًا فالعدو داخل القلعة.

قائمة تدقيق سريعة (للمنزل والشركات)​

[ ] تعطيل WPS، تمكين WPA3/PMF
[ ] تغيير كلمات مرور الراوتر ولوحة التحكم الافتراضية
[ ] تحديث Firmware دوريًا
[ ] فرض HTTPS-Only وسياسات TLS حديثة
[ ] تفعيل DoH/DoT أو استخدام VPN عند الحاجة
[ ] تطبيق 802.1X وDAI وDHCP Snooping وPort Security في بيئات العمل
[ ] مراقبة شهادات TLS واكتشاف أي CA غير مألوفة
[ ] تدريب دوري على وعي الشبكات العامة وEvil Twin
التنصّت ليس سحرا - هو غياب تشفير صحيح أو نجاح مهاجم في وضع نفسه داخل المسار.
بتطبيق دفاعات طبقية، وتشفير حديث، ومراقبة ذكية، تقلّص سطح الهجوم بشكل كبير.