"هجوم الرجل في المنتصف"
او بما يعرف Man in the middle Attack (mitm)
قبل اما اتكلم لازم تبقي عارف شويه حاجات عن الشبكات زي protocols وال ports
اول اما بتفتح الجهاز بتاعك ويتصل بالانترنت ف تلقائي الجهاز بتاعك بيتصل ب protocol اسمه DHCP البروتوكول ده وظيفته ان هو يدي الجهاز بتاعك عنوان IP البطاقه بتاعتك اللي هيخليك انك تستخدم الانترنت مش هتكلم في تفاصيل اكتر عشان لو قولت كل تفصيله مش هتفهم اللي انا عاوزه اقوله غير بعد شرح طويل
المهم لازم تعرف برضوا انك اول اما تفتح اي Applications ليها علاقه بالانترنت فالاتصال بين التطبيق والانترنت بيكون عن طريق protocol معين و port معين
فمثلا المتصفح بيتسخدم بورت 80
ولازم تعرف ان فيه 65535 بورت بيتصلوا بال protocols دي
واللي اساسهم او نقدر نقول ان كل البروتوكولات دي جزء من اتنين protocol
اساسين وهم TCP و UDP
تمام كده
ولازم تعرف برضوا ان كل موقع بتفتحه Google او Facebook اياً كان بيكون ليه نطاق او عنوان زي الايبي بتاعك
مثال : عشان تبقي الفكره واضحه مثلا www.google.com
دا العنوان بتاعه (172.217.19.132)
ودا بيتم عن حاجه اسمها ال dns
ببساطه هو بياخد العنوان النصي اللي هو google.com
وبيسال الdns دا الايبي بتاعه ايه فيقوم معرف google.com بالايبي بتاعه ويرد وبالتالي الbrowser بتاعك يقدر يوصل للموقع عشان المتصفحات بتستخدم عنوان النطاقات اللي هي ال ips ايبهات.
ولو كتبت النطاق في الbrowser هيفتحلك جوجل عادي تمام اشطا كده
انا بقا هت هاك ازي ؟!
انت دخلت الكافيه وعلي افتراض اني هناك
في Hacker
وكمان Black hat وقاعد معاك في نفس الكافيه وحب يتجسس عليك
انت طلعت موبايلك او اللاب بتاعك واتصالات بالوافاي وفتحت ال browser ودخلت علي Facebook
احنا قولنا ان كل اتصال ليه protocol و port معين المتصفح بيشتغل علي بروتوكول Hypertext Transfer Protocol
اللي هو http وبورت 80 وده وظفيته ان هو يعمل Connection بين الbrowser بتاعك وبين الserver هو حلقه الوصل بينكم
بس في مشكله هنا
ان الprotocol ده غير مشفر
واحد ذكي هيسالني ويقولي ايه المشكله كده كده الاتصال بيكون بين الclient اللي هو اصلا المتصفح والسيرفر تفرق في ايه مشفر ولا لا !
احب اقولك من هنا هيتم اختراقك
نبدأ الشرح الفعلي في الmitm او
الراجل في المنتصف وهو اسم علي مسمي
احنا قولنا الاتصال بيكون بين الbrowser والserver علي طول
هجوم الراجل في المنتصف بيخليني انا كا Attacker ابقي في نص الاتصال بينكم بمعني
انت فتحت facebook كتبت الemail والpassword ودوست Enter فالمتصفح بتاعك بيبعت ويستقبل بيانات ولو البيانات صحيحه بتدخل علي الacc بتاعك ولو البيانا مش صحيحه
هيقوك الميل او الباس غلط
هجوم الmitm بيخليني ابقي واسيط بينك وبين الserver يعني لما تبعت حاجه او تفتح موقع معين فالطلب اللي انت بعته بيمر عليا انا الاول وبعدك كده بيمر علي الserver وبقدر اشوف كل البيانات علي هيئة " text " "نص عادي " لان زي مايقولنا في الاول الHTTP مش مشفر
يعني مش بس هقدر اشوف انت فاتح مواقع ايه لا وهقدر اسرق اي بيانات هتكتبه كمان سواء باسوردات بقا بيانات الفيزا بتاعتك اي حاجه
بس في الحقيقه دي مابقتش مشكله دلوقتي لان بقي في Hypertext Transfer Protocol Secure
اللي هو HTTPS
الفرق بين ال HTTP وال HTTPS هو ال s
الفرق بينهم ان ال HTTPS مشفر لانه بيشتغل علي SSL او TLS
وال ssl هو Secure Sockets Layer
وال tls هوTransport Layer Security
وبالتالي انا لو بعمل mitm وهو بيتسخدم مواقع https كده ال Attacker مش هيعرف يعترض البيانات ؟
لا هقيدر يعترض البيانات وكل حاجه بس المشكله انها هتبقي encrypted مشفرة وبالتالي علشان يشوف البيانات دي لازم يفك تشفرها
طب ماكده اشطا وزي الفل مش هيعرف يسرق مني اي بيانات ولو سرق هتبقي مشفرة
بس عشان تبقي عارف هو برضوا هيبقي شايف انت فاتح ايه يعني لو فاتحت موقع فيس بوك هيشوف انك فاتح فيس بوك
وده اسمه sniff يعني بالمعني الحرفي شم
بس البيانات اللي هتبقي بينك وبين الموقع هتبقي مشفرة
و الحقيقه في مشكله مش لطيفه وهي ان ال ssl بتعتمد علي حاجه اسمهاcertificate authorities
اوشهادات الاعتماد بمعني انك لما تطلب موقع بيستخدم ssl يعني هو https عشان يتاكد من الاتصال ال browser بتاعك بيبعت للجهه المصدره للشهاده ويتاكد منها هل هي اصليه ولا مش اصليه وهكذا
مش هتعمق تقنيا في الحته دي اوي لان الموضوع طويل
هنا يظهر هجوم
DNS Poisoning او Phishing
ARP Poisoningوال
تسميم وخداع ال dns
طبعا انا قولت فوق وظيفه ال dns
المهم ان ال Attacker بيغير في الايبي بتاع الموقع بمعني
انا طلبت Facebook.com
وده الايبي بتاعه مثلا (102.132.97.35)
انا اقدر اسمم ال dns واغير الايبي ده واحط ايبي اي موقع تاني وليكن موقع شبيه بالفيس بوك
زي صفحه مزوره مثلا وكل البيانات اللي هتكتبها فيها هتوصلي
او ممكن احولك لرابط كله malware و trojan
او ممكن احولك لرابط تحميل مباشر لصورة يعني تكتب google.com
وتدوس Enter تستغرب انك مادخلتش علي جوجل ! بدلا من ذلك في صورة اتحملت !! فضولك القاتل هيخيلك تفتح الصورة وانتوا اكيد فاهمين السيناريوا اللي هيحصل او غيره وغيره بقا والموضوع مابيوقفش لحد كده بس البوست طول اوي وهكتفي بدول
ودا كله بمجرد انه كان معاك علي نفس الشبكه بس
تحمي نفسك ازي من هجوم زي ده
اتاكد ان كل المواقع اللي بتفتحها https مش http
ولو جالك اي رساله بتحذرك من موقع معين وبتقولك ان في خطاء في شهادة الاعتماد اخرج منه ع طول
واستعمل vpn
وماتفتحش شبكات مش بتعتك او مش محمية
ازي اكتشف الهجوم ده واعرف ان كان في حد معايا علي الشبكة بيتجسس عليا
لو بتستخدم لينكس فالموضوع سهل افتح الترمنال واكتب الامر ده
nmap -sn --script=sniffer-detect 192.168.1.1/24
اهم الادوات اللي بنستخدمها في الهجوم ده
او بما يعرف Man in the middle Attack (mitm)
قبل اما اتكلم لازم تبقي عارف شويه حاجات عن الشبكات زي protocols وال ports
اول اما بتفتح الجهاز بتاعك ويتصل بالانترنت ف تلقائي الجهاز بتاعك بيتصل ب protocol اسمه DHCP البروتوكول ده وظيفته ان هو يدي الجهاز بتاعك عنوان IP البطاقه بتاعتك اللي هيخليك انك تستخدم الانترنت مش هتكلم في تفاصيل اكتر عشان لو قولت كل تفصيله مش هتفهم اللي انا عاوزه اقوله غير بعد شرح طويل
المهم لازم تعرف برضوا انك اول اما تفتح اي Applications ليها علاقه بالانترنت فالاتصال بين التطبيق والانترنت بيكون عن طريق protocol معين و port معين
فمثلا المتصفح بيتسخدم بورت 80
ولازم تعرف ان فيه 65535 بورت بيتصلوا بال protocols دي
واللي اساسهم او نقدر نقول ان كل البروتوكولات دي جزء من اتنين protocol
اساسين وهم TCP و UDP
تمام كده
ولازم تعرف برضوا ان كل موقع بتفتحه Google او Facebook اياً كان بيكون ليه نطاق او عنوان زي الايبي بتاعك
مثال : عشان تبقي الفكره واضحه مثلا www.google.com
دا العنوان بتاعه (172.217.19.132)
ودا بيتم عن حاجه اسمها ال dns
ببساطه هو بياخد العنوان النصي اللي هو google.com
وبيسال الdns دا الايبي بتاعه ايه فيقوم معرف google.com بالايبي بتاعه ويرد وبالتالي الbrowser بتاعك يقدر يوصل للموقع عشان المتصفحات بتستخدم عنوان النطاقات اللي هي ال ips ايبهات.
ولو كتبت النطاق في الbrowser هيفتحلك جوجل عادي تمام اشطا كده
انا بقا هت هاك ازي ؟!
انت دخلت الكافيه وعلي افتراض اني هناك
في Hacker
وكمان Black hat وقاعد معاك في نفس الكافيه وحب يتجسس عليك
انت طلعت موبايلك او اللاب بتاعك واتصالات بالوافاي وفتحت ال browser ودخلت علي Facebook
احنا قولنا ان كل اتصال ليه protocol و port معين المتصفح بيشتغل علي بروتوكول Hypertext Transfer Protocol
اللي هو http وبورت 80 وده وظفيته ان هو يعمل Connection بين الbrowser بتاعك وبين الserver هو حلقه الوصل بينكم
بس في مشكله هنا
ان الprotocol ده غير مشفر
واحد ذكي هيسالني ويقولي ايه المشكله كده كده الاتصال بيكون بين الclient اللي هو اصلا المتصفح والسيرفر تفرق في ايه مشفر ولا لا !
احب اقولك من هنا هيتم اختراقك
نبدأ الشرح الفعلي في الmitm او
الراجل في المنتصف وهو اسم علي مسمي
احنا قولنا الاتصال بيكون بين الbrowser والserver علي طول
هجوم الراجل في المنتصف بيخليني انا كا Attacker ابقي في نص الاتصال بينكم بمعني
انت فتحت facebook كتبت الemail والpassword ودوست Enter فالمتصفح بتاعك بيبعت ويستقبل بيانات ولو البيانات صحيحه بتدخل علي الacc بتاعك ولو البيانا مش صحيحه
هيقوك الميل او الباس غلط
هجوم الmitm بيخليني ابقي واسيط بينك وبين الserver يعني لما تبعت حاجه او تفتح موقع معين فالطلب اللي انت بعته بيمر عليا انا الاول وبعدك كده بيمر علي الserver وبقدر اشوف كل البيانات علي هيئة " text " "نص عادي " لان زي مايقولنا في الاول الHTTP مش مشفر
يعني مش بس هقدر اشوف انت فاتح مواقع ايه لا وهقدر اسرق اي بيانات هتكتبه كمان سواء باسوردات بقا بيانات الفيزا بتاعتك اي حاجه
بس في الحقيقه دي مابقتش مشكله دلوقتي لان بقي في Hypertext Transfer Protocol Secure
اللي هو HTTPS
الفرق بين ال HTTP وال HTTPS هو ال s
الفرق بينهم ان ال HTTPS مشفر لانه بيشتغل علي SSL او TLS
وال ssl هو Secure Sockets Layer
وال tls هوTransport Layer Security
وبالتالي انا لو بعمل mitm وهو بيتسخدم مواقع https كده ال Attacker مش هيعرف يعترض البيانات ؟
لا هقيدر يعترض البيانات وكل حاجه بس المشكله انها هتبقي encrypted مشفرة وبالتالي علشان يشوف البيانات دي لازم يفك تشفرها
طب ماكده اشطا وزي الفل مش هيعرف يسرق مني اي بيانات ولو سرق هتبقي مشفرة
بس عشان تبقي عارف هو برضوا هيبقي شايف انت فاتح ايه يعني لو فاتحت موقع فيس بوك هيشوف انك فاتح فيس بوك
وده اسمه sniff يعني بالمعني الحرفي شم
بس البيانات اللي هتبقي بينك وبين الموقع هتبقي مشفرة
و الحقيقه في مشكله مش لطيفه وهي ان ال ssl بتعتمد علي حاجه اسمهاcertificate authorities
اوشهادات الاعتماد بمعني انك لما تطلب موقع بيستخدم ssl يعني هو https عشان يتاكد من الاتصال ال browser بتاعك بيبعت للجهه المصدره للشهاده ويتاكد منها هل هي اصليه ولا مش اصليه وهكذا
مش هتعمق تقنيا في الحته دي اوي لان الموضوع طويل
هنا يظهر هجوم
DNS Poisoning او Phishing
ARP Poisoningوال
تسميم وخداع ال dns
طبعا انا قولت فوق وظيفه ال dns
المهم ان ال Attacker بيغير في الايبي بتاع الموقع بمعني
انا طلبت Facebook.com
وده الايبي بتاعه مثلا (102.132.97.35)
انا اقدر اسمم ال dns واغير الايبي ده واحط ايبي اي موقع تاني وليكن موقع شبيه بالفيس بوك
زي صفحه مزوره مثلا وكل البيانات اللي هتكتبها فيها هتوصلي
او ممكن احولك لرابط كله malware و trojan
او ممكن احولك لرابط تحميل مباشر لصورة يعني تكتب google.com
وتدوس Enter تستغرب انك مادخلتش علي جوجل ! بدلا من ذلك في صورة اتحملت !! فضولك القاتل هيخيلك تفتح الصورة وانتوا اكيد فاهمين السيناريوا اللي هيحصل او غيره وغيره بقا والموضوع مابيوقفش لحد كده بس البوست طول اوي وهكتفي بدول
ودا كله بمجرد انه كان معاك علي نفس الشبكه بس
تحمي نفسك ازي من هجوم زي ده
اتاكد ان كل المواقع اللي بتفتحها https مش http
ولو جالك اي رساله بتحذرك من موقع معين وبتقولك ان في خطاء في شهادة الاعتماد اخرج منه ع طول
واستعمل vpn
وماتفتحش شبكات مش بتعتك او مش محمية
ازي اكتشف الهجوم ده واعرف ان كان في حد معايا علي الشبكة بيتجسس عليا
لو بتستخدم لينكس فالموضوع سهل افتح الترمنال واكتب الامر ده
nmap -sn --script=sniffer-detect 192.168.1.1/24
اهم الادوات اللي بنستخدمها في الهجوم ده
"هجوم الرجل في المنتصف"
او بما يعرف Man in the middle Attack (mitm)
قبل اما اتكلم لازم تبقي عارف شويه حاجات عن الشبكات زي protocols وال ports
اول اما بتفتح الجهاز بتاعك ويتصل بالانترنت ف تلقائي الجهاز بتاعك بيتصل ب protocol اسمه DHCP البروتوكول ده وظيفته ان هو يدي الجهاز بتاعك عنوان IP البطاقه بتاعتك اللي هيخليك انك تستخدم الانترنت مش هتكلم في تفاصيل اكتر عشان لو قولت كل تفصيله مش هتفهم اللي انا عاوزه اقوله غير بعد شرح طويل
المهم لازم تعرف برضوا انك اول اما تفتح اي Applications ليها علاقه بالانترنت فالاتصال بين التطبيق والانترنت بيكون عن طريق protocol معين و port معين
فمثلا المتصفح بيتسخدم بورت 80
ولازم تعرف ان فيه 65535 بورت بيتصلوا بال protocols دي
واللي اساسهم او نقدر نقول ان كل البروتوكولات دي جزء من اتنين protocol
اساسين وهم TCP و UDP
تمام كده
ولازم تعرف برضوا ان كل موقع بتفتحه Google او Facebook اياً كان بيكون ليه نطاق او عنوان زي الايبي بتاعك
مثال : عشان تبقي الفكره واضحه مثلا www.google.com
دا العنوان بتاعه (172.217.19.132)
ودا بيتم عن حاجه اسمها ال dns
ببساطه هو بياخد العنوان النصي اللي هو google.com
وبيسال الdns دا الايبي بتاعه ايه فيقوم معرف google.com بالايبي بتاعه ويرد وبالتالي الbrowser بتاعك يقدر يوصل للموقع عشان المتصفحات بتستخدم عنوان النطاقات اللي هي ال ips ايبهات.
ولو كتبت النطاق في الbrowser هيفتحلك جوجل عادي تمام اشطا كده
انا بقا هت هاك ازي ؟!
انت دخلت الكافيه وعلي افتراض اني هناك
في Hacker
وكمان Black hat وقاعد معاك في نفس الكافيه وحب يتجسس عليك
انت طلعت موبايلك او اللاب بتاعك واتصالات بالوافاي وفتحت ال browser ودخلت علي Facebook
احنا قولنا ان كل اتصال ليه protocol و port معين المتصفح بيشتغل علي بروتوكول Hypertext Transfer Protocol
اللي هو http وبورت 80 وده وظفيته ان هو يعمل Connection بين الbrowser بتاعك وبين الserver هو حلقه الوصل بينكم
بس في مشكله هنا
ان الprotocol ده غير مشفر
واحد ذكي هيسالني ويقولي ايه المشكله كده كده الاتصال بيكون بين الclient اللي هو اصلا المتصفح والسيرفر تفرق في ايه مشفر ولا لا !
احب اقولك من هنا هيتم اختراقك
نبدأ الشرح الفعلي في الmitm او
الراجل في المنتصف وهو اسم علي مسمي
احنا قولنا الاتصال بيكون بين الbrowser والserver علي طول
هجوم الراجل في المنتصف بيخليني انا كا Attacker ابقي في نص الاتصال بينكم بمعني
انت فتحت facebook كتبت الemail والpassword ودوست Enter فالمتصفح بتاعك بيبعت ويستقبل بيانات ولو البيانات صحيحه بتدخل علي الacc بتاعك ولو البيانا مش صحيحه
هيقوك الميل او الباس غلط
هجوم الmitm بيخليني ابقي واسيط بينك وبين الserver يعني لما تبعت حاجه او تفتح موقع معين فالطلب اللي انت بعته بيمر عليا انا الاول وبعدك كده بيمر علي الserver وبقدر اشوف كل البيانات علي هيئة " text " "نص عادي " لان زي مايقولنا في الاول الHTTP مش مشفر
يعني مش بس هقدر اشوف انت فاتح مواقع ايه لا وهقدر اسرق اي بيانات هتكتبه كمان سواء باسوردات بقا بيانات الفيزا بتاعتك اي حاجه
بس في الحقيقه دي مابقتش مشكله دلوقتي لان بقي في Hypertext Transfer Protocol Secure
اللي هو HTTPS
الفرق بين ال HTTP وال HTTPS هو ال s 😁
الفرق بينهم ان ال HTTPS مشفر لانه بيشتغل علي SSL او TLS
وال ssl هو Secure Sockets Layer
وال tls هوTransport Layer Security
وبالتالي انا لو بعمل mitm وهو بيتسخدم مواقع https كده ال Attacker مش هيعرف يعترض البيانات ؟
لا هقيدر يعترض البيانات وكل حاجه بس المشكله انها هتبقي encrypted مشفرة وبالتالي علشان يشوف البيانات دي لازم يفك تشفرها
طب ماكده اشطا وزي الفل مش هيعرف يسرق مني اي بيانات ولو سرق هتبقي مشفرة
بس عشان تبقي عارف هو برضوا هيبقي شايف انت فاتح ايه يعني لو فاتحت موقع فيس بوك هيشوف انك فاتح فيس بوك
وده اسمه sniff يعني بالمعني الحرفي شم
بس البيانات اللي هتبقي بينك وبين الموقع هتبقي مشفرة
و الحقيقه في مشكله مش لطيفه وهي ان ال ssl بتعتمد علي حاجه اسمهاcertificate authorities
اوشهادات الاعتماد بمعني انك لما تطلب موقع بيستخدم ssl يعني هو https عشان يتاكد من الاتصال ال browser بتاعك بيبعت للجهه المصدره للشهاده ويتاكد منها هل هي اصليه ولا مش اصليه وهكذا
مش هتعمق تقنيا في الحته دي اوي لان الموضوع طويل
هنا يظهر هجوم
DNS Poisoning او Phishing
ARP Poisoningوال
تسميم وخداع ال dns
طبعا انا قولت فوق وظيفه ال dns
المهم ان ال Attacker بيغير في الايبي بتاع الموقع بمعني
انا طلبت Facebook.com
وده الايبي بتاعه مثلا (102.132.97.35)
انا اقدر اسمم ال dns واغير الايبي ده واحط ايبي اي موقع تاني وليكن موقع شبيه بالفيس بوك
زي صفحه مزوره مثلا وكل البيانات اللي هتكتبها فيها هتوصلي
او ممكن احولك لرابط كله malware و trojan
او ممكن احولك لرابط تحميل مباشر لصورة يعني تكتب google.com
وتدوس Enter تستغرب انك مادخلتش علي جوجل ! بدلا من ذلك في صورة اتحملت !! فضولك القاتل هيخيلك تفتح الصورة وانتوا اكيد فاهمين السيناريوا اللي هيحصل او غيره وغيره بقا والموضوع مابيوقفش لحد كده بس البوست طول اوي وهكتفي بدول
ودا كله بمجرد انه كان معاك علي نفس الشبكه بس🤷♂️
تحمي نفسك ازي من هجوم زي ده
اتاكد ان كل المواقع اللي بتفتحها https مش http
ولو جالك اي رساله بتحذرك من موقع معين وبتقولك ان في خطاء في شهادة الاعتماد اخرج منه ع طول
واستعمل vpn
وماتفتحش شبكات مش بتعتك او مش محمية
ازي اكتشف الهجوم ده واعرف ان كان في حد معايا علي الشبكة بيتجسس عليا
لو بتستخدم لينكس فالموضوع سهل افتح الترمنال واكتب الامر ده
nmap -sn --script=sniffer-detect 192.168.1.1/24
اهم الادوات اللي بنستخدمها في الهجوم ده
1 التعليقات
0 نشر
6K مشاهدة
0 مراجعات