ما هو ARP؟ شرح وهجمات ARP وطرق الحماية العامة

بروتوكول بسيط لكنه مهم جدًا في الشبكات: ARP (Address Resolution Protocol). لو بتتعامل مع الشبكات لازم تفهمه، لأنه هو اللي بيخلّي الأجهزة تعرف بعضها على نفس الـLAN عن طريق تحويل الـIP لـMAC. ونفس البساطة دي هي اللي بتخلي البروتوكول عرضه لهجمات لو مافيش حماية.

قبل ما نبص على الهجمات - لازم نعرف إيه الحاجات المطلوبة عشان يبعت packet ​

عشان ترسل باكيت على الشبكة محتاج أربعة حاجات أساسية:

• src MAC address - عنوان الماك للمرسل.
• src IP address - الآي بي للمرسل.
• dest MAC address - عنوان الماك للمستقبل.
• dest IP address - الآي بي للمستقبل.

لو معاك الـIP بتاع الـdestination وعايز تبعتله باكيت، أنت فعلاً معاك الـsrc IP وsrc MAC بتوعك، لكن مش معاك الـdest MAC لحد لما تحصل عليه - وده دور ARP.

ازاي ARP بيشتغل؟ خطوة بخطوة ​

• الهوست عنده الـIP الهدف لكن مش عنده MAC - يبص في ARP table المحلي عنده الأول.
• لو ملقاش الـMAC هناك، يبعت ARP request على الشبكة - عبارة عن سؤال: "مين صاحب الـIP ده؟"
• السويتش يستقبل الـrequest ويبثه لكل الأجهزة على الـLAN (broadcast) ما عدا المرسل.
• الجهاز اللي الـIP بتاعه مطابق يرد بـARP reply وفيه الـMAC بتاعه.
• الهوست اللي طلب بيخزن الـIP↔MAC في الـARP table ويبعث الباكيت.

لو عايز تشوف الـARP table على جهازك:
Router/Switch : # show arp
Host (Windows/Linux) : arp -a

مثال كود بسيط يوضح تسلسل الرسائل (مش تنفيذ) ​

1. Host A: ARP Request -> "Who has 192.168.1.10? Tell 192.168.1.5 (MAC: AA:AA)."
2. Host B (192.168.1.10): ARP Reply -> "I have 192.168.1.10. MAC is BB:BB"
3. Host A: stores mapping 192.168.1.10 -> BB:BB and sends packet.

---

طيب إيه الهجمات اللي ممكن تحصل عبر ARP؟ ​

أهم هجومين بنشوفهم في الشبكات المحلية هم:

1) ARP Spoofing / ARP Poisoning ​

دي أشهر واحدة: المهاجم ببساطة يرد على ARP requests بإجابات مزيفة ويقول "الـIP ده متعلق بالـMAC بتاعي". بعد كده الترافيك اللي المفروض يروح للجهاز الهدف بيروح للمهاجم بدلًا منه. النتيجة: المهاجم يقدر يعمل Man-in-the-Middle (MITM)، يلتقط الباكات، يعدلها، أو يعيد توجيهها.

أدوات مشهورة للهجوم ده: ettercap, arpspoof, netcut.
مثال عملي (للاستخدام في بيئة اختبار فقط):

# arpspoof example (test lab only)

arpspoof -i eth0 -t 192.168.1.5 192.168.1.10
arpspoof -i eth0 -t 192.168.1.10 192.168.1.5

2) ARP Flooding / ARP DoS ​

المهاجم يرسل عدد ضخم من رسائل ARP مزيفة وبالتالي يملى الـARP tables في الأجهزة (ARP cache poisoning) أو يملى جدول السويتش MAC table لدرجة إنه يسبب اضطراب في الشبكة أو يخلّي السويتش يسيب يلقي broadcast لكل الباكيتات - وده ممكن يؤدي لشلل جزئي للشبكة.

---

مخاطر تانية مرتبطة بالـARP ​

• سرقة جلسات (session hijacking) لما المهاجم يلتقط كوكيز أو توكنات غير مشفرة.
• التنصت على كلمات السر وحزم البيانات الحساسة في شبكات غير مشفرة.
• إمكانية التلاعب بالباكيتات قبل إعادة توجيهها (data tampering).

إزاي تكشف هجمات ARP؟ أدوات وإشارات ​

• مراقبة وجود duplicate IP addresses أو تغيّر مفاجئ في الماك المرتبط بآي بي معين.
• استعمال أوامر مثل arp -a أو ip neigh لمراجعة الـARP table.
• أدوات كشف متخصصة: arpwatch, XArp, ArpON.
• مراقبة الترافيك بواسطت Wireshark والبحث عن ARP replies من أجهزة مش متوقعة.

إزاي تحمي شبكتك من هجمات ARP؟ نصايح عملية ​

• Static ARP entries: لو الشبكة صغيرة، تقدر تحط mappings ثابتة بين IP وMAC على الأجهزة الحساسة - بس ده صعب الإدارة في شبكات كبيرة.
• Dynamic ARP Inspection (DAI): خاصية على سويتشات احترافية بتتأكد إن ARP replies متوافقة مع الـDHCP snooping database.
• استعمل HTTPS وVPN: حتى لو اتعمل MITM، البيانات بتكون مشفرة.
• تعزيز المراقبة والـlogging: راقب تغيّر الماكات، سجّل الأنشطة وابدأ rules إنذار عند تغيّر مفاجئ.
• عزل الشبكات الحساسة (VLANs): قسّم الشبكة علشان تقلل مساحة الضرر لو حصل اختراق.
• استخدام أدوات IDS/IPS: زى Snort أو Suricata مع قواعد لكشف ARP spoofing.

نصيحة أخيرة قبل ما نخلص ​

الـARP بروتوكول بسيط لكنه فعّال جدًا، والبساطة دي اللي بتخليه نقطة ضعف لو ماكانش فيه إجراءات حماية. لو أنت مسؤول شبكة أو مهتم بسكيوريتي خليك دايمًا في وضع استباقي: راقب، جهد على تحديث السويتشات، وفعل خصائص الحماية اللي عندك. وأكيد - ماتجرّبش أي حاجة على شبكة مش بتاعتك بدون تصريح صريح.