H4x0r
./ عضو
السلام عليكم ورحمة الله وبركاته
مرحبَا بكم في (part -5) بعنوان:
ARP Poisoning/Spoofing
بدنا نشوف هجوم Man In The Middle كيف بصير وأنت كمحلل كيف ممكن تكتشف إنه في Attack من هذا النوع؟
مرحبَا بكم في (part -5) بعنوان:
ARP Poisoning/Spoofing
بدنا نشوف هجوم Man In The Middle كيف بصير وأنت كمحلل كيف ممكن تكتشف إنه في Attack من هذا النوع؟
أنا بطبق هذا الشرح على LAB و هو رح يكون لغرض تعليمي و بسيط جدًا لا يوجد أي اختراق للقواعد .
أول شيء رح نشرحه شو هو بروتوكل ARP :
الآن خلونا نشوف الصورة هاي :
الآن عندي جهزين متوصلين بـ swatch جهاز hex بده يبعت data إلى جهاز storm . الآن يعني( hex --> src) و (storm --> dst ) تمام هسا عشان ال src يبعت ال data لل dst بحتاج يكون معه MAC dst and IP dst , بالوضع الطبيعي src رح يكون بعرف فقط ال IP dst بس ما بكون معه ال MAC dst طيب و الحل ؟
هون بيجي دور بروتوكول ARP (Address Resolution Protocol ) هو يلي بخليني أعرف الـ MAC add لل DST و بربطو بل IP dst
زي ما هو موضح بصورة MAC هو unique و هو خاص بكرت الشبكة أي جهاز بده يتواصل مع جهاز ثاني في شبكة داخلية لازم يكون معه MAC add تاع الجهاز عشان يتواصل معه و عشان أجيب ال MAC بدي بروتوكل ARP
الآن نتخيل عنا 4 أجهزة في الشبكة المحلية :
الآن جاهز A بده يتواصل مع جهاز B هو بعرف ال IP تبعه بس بده MAC تمام شو رح يعمل؟
أول شيء بعمله بروح ببحث عن MAC (B) في شيء اسمه ARP cache هون بكون مخزن كل MAC للأجهزة الي تواصلت معهم من قبل خلونا نفرض إنه B جديد يعني ما رح يلاقيه في ARP cache شو رح يعمل؟
رح يبعت طلب خلينا نفرض إنه ip (4) = 10.10.0.4 هسا ARP رح يبعت طلب لكل الأجهزة يلي في الشبكة الطلب شو بحكي صاحب هذا ال IP يبعتلي ال MAC بتاعه فصاحب ال IP مين ؟ هو B رح يستلم الطلب و يبعت ال MAC تبعه .
طيب رح تحكيلي هو بعت لكل يلي بشبكة, يعني بعت لجهاز D و جهاز C ايوا بس همه مش صاحب ال IP هو محدد من بدو صاحب ال IP المحدد فهمه رح يستقبلوا الطلب و يطنشوا لأنه مش همه المطلوبين. بكل بساطة .
طيب فهمنا هسا ARP طيب شو دخله في الاختراق ؟
هسا أي جهاز بده يتواصل مع جهاز خارج الشبكة محتاج بوابة و البوابة رح تكون هي الراوتر :
الآن أنا بدي أتصل مع السيرفر محتاج بوابة بوابتي هي الراوتر. تمام أنا و الراوتر مع بعض بشبكة بعرف ال ip تبعه عشان أتصل معه لازم أعرف ال MAC وأكيد ال MAC مسجل عندي فبتصل معه وهو بطلعني على الشبكة عشان أتصل مع الأجهزة خارج الشبكة تمام .
هون هسا بدنا نحكي عن :Man In The Middle
الآن جاهز A بده يتواصل مع جهاز B هو بعرف ال IP تبعه بس بده MAC تمام شو رح يعمل؟
أول شيء بعمله بروح ببحث عن MAC (B) في شيء اسمه ARP cache هون بكون مخزن كل MAC للأجهزة الي تواصلت معهم من قبل خلونا نفرض إنه B جديد يعني ما رح يلاقيه في ARP cache شو رح يعمل؟
رح يبعت طلب خلينا نفرض إنه ip (4) = 10.10.0.4 هسا ARP رح يبعت طلب لكل الأجهزة يلي في الشبكة الطلب شو بحكي صاحب هذا ال IP يبعتلي ال MAC بتاعه فصاحب ال IP مين ؟ هو B رح يستلم الطلب و يبعت ال MAC تبعه .
طيب رح تحكيلي هو بعت لكل يلي بشبكة, يعني بعت لجهاز D و جهاز C ايوا بس همه مش صاحب ال IP هو محدد من بدو صاحب ال IP المحدد فهمه رح يستقبلوا الطلب و يطنشوا لأنه مش همه المطلوبين. بكل بساطة .
طيب فهمنا هسا ARP طيب شو دخله في الاختراق ؟
هسا أي جهاز بده يتواصل مع جهاز خارج الشبكة محتاج بوابة و البوابة رح تكون هي الراوتر :
الآن أنا بدي أتصل مع السيرفر محتاج بوابة بوابتي هي الراوتر. تمام أنا و الراوتر مع بعض بشبكة بعرف ال ip تبعه عشان أتصل معه لازم أعرف ال MAC وأكيد ال MAC مسجل عندي فبتصل معه وهو بطلعني على الشبكة عشان أتصل مع الأجهزة خارج الشبكة تمام .
هون هسا بدنا نحكي عن :Man In The Middle
خلونا نجهز LAB ونزبط الأمور :
عندي جهازين عشان نعرف ip win و نعرف البوابة تاعتنا أو IP router , افتح cmd و اكتب:
كود:
ipconfigوبالنسبة للـ kali:
كود:
ifconfigخلينا نرجع للرسمة و نشوف كل اشي صحيح .
ميه ميه هسا خلينا نحكي الفكرة و بعدين نبلش نطبق فيها الآن يلي بده يصير بدنا نخلي الـ kali بنص ( في الوسط ) بين مين ومين؟ بين جهاز win و بين router طيب ليش شو رح استفيد ايواا ؟ هون مش حكينا البوابة تاعت win هو router يعني لما بده يتواصل أو يبعت data أو يعمل أي شيء خارج الشبكة لازم يبعتها لل router و router يبعتها للمكان المطلوب . يعني لما يصير ال kali في الوسط رح يصير يشوف data يلي ببعتها win و يلي بستقبلها و هيك أنت عملت اختراق لأنك ممكن تقرأ بيانات مهمة أو ممكن تغيرها أو ممكن تغير مسارها لذلك يعتبر هذا الاختراق خطير .
طيب رح تسألني سؤال لطيف كيف رح يصير kali في الوسط؟
ايوا هون الفكرة الفكرة مش أنا لما بدي أطلع على الإنترنت بحتاج الراوتر عشان يصير ال kali لازم يكون هو راوتر أو يوهم win إنه هو راوتر كيف؟ هسا رح نشوف .
رح تسألني سؤال ثاني, طيب إذا kali صار هو الراوتر البيانات مش رح تطلع على الإنترنت لإنه وصلت لل kali؟
بقلك مزبوط بس شو بدو يعمل kali رح يستلم البيانات من win و هو يبعتها على الراوتر يعني بصورة مبسطة رح يصير حلقة وصل بين router و win و بقدر يشوف كل شيء .
خلينا أول شيء نعمل ال atack و بعدين نشوف كيف ممكن نكشفه عن طريق wireshark بس قبل كل شيء خلينا نشوف شغلة مهمة وركز فيها بدنا نشوف ال MAC للأجهزة و عشان نكون عارفين كل التفاصيل عشان لقدام نفهم :
كونه احنا بنشتغل في lab بقدر أطلع ال MAC لل 3 أجهزة من win عن طريق arp cache > افتح ال cmd اكتب:
كود:
arp -aوإذا ما لقيت ip و MAC ال kali أو الجهاز يلي بدك أطبق منه اعمل عليه ping وارجع شوف arp cache :
خلينا نركز على آخر خانة في MAC حلو. الأول لل router و الثاني تاع kali هيك صرنا عارفين و MAC تبع win آخر خانة ff
هون بنسأل السؤال الحلو: شو يلي رح يصير لحتى ال win يشوف kali كراوتر ؟ ركز ركز معي .
الآن win مخزن MAC router تمام لما بده يبعتله بيانات ما بحتاج يطلبه هسا شو رح يصير بدنا نخدع win و نحكيله إنه rouet غير ال MAC
حلوو هون هو شو رح يعمل ؟؟ رح يبعت طلب عشان يوخد عنوان MAC تاع الـ router
هسا kali شو بعمل ؟؟ الـ kali بعطيه MAC تبعه بحكيله أنا بعرف ال MAC تبع router هيو .
وهو شو بكون معطيه عنوانه و win شو بعمل بخزن ال MAC تبع kali على أساس إنه هو router . خلينا نشوف كيف بصير هل حكي .
خلونا نشغل wireshark و نكتب الأوامر يلي كتبناها فوق .
الخطوة الأول بدنا نفتح wireshark و نشغل تسجيل و نعمل arpspoof :
بدي أوقف تسجيل wireshark و نشوف نعمل تصفية بدنا نشوف كل حزم ARP و نشوف شو يلي صار :
نشوف أول حزمة و ركز فيها منيح :
ركز source هو مين ؟؟؟
شوف MAC من فوق رح تلاقي هو MAC تبع kali
طيب لمين بعت ؟؟؟
مين آخره ff يلي هو win طيب شو محتواه الحزمة إقرأ واضحة حكى لل win إنه mac تبع 192.168.100.1 يلي هو router ركز بآخر ال mac يلي أعطاه إياه آخره 9c
طيب هاذ MAC مين ؟
mac تبع kali هسا لمفروض win يوخد ال mac و يخزنه خلينا نشوف, خزنه ؟
طيب تعالوا نشوف بنقدر عن طريق kali نشوف الحزم يلي ببعتها win ؟
شوف التسجيل http يلي عملناه في win قدرت أشوفه من kali هيك تمت العملية .
هسا بدنا نحكي عن كيف تكتشف إنه في ARP Poisoning/Spoofing
أنت عمومًا لو شفت المنظر هاذ
اعرف إنه في شيء غلط ههههههه زي ما أنت شايف في حرب صراع بين الطلب .
و شغلة ثانية أنت كمحلل أو حد حب يعمل تحليل لازم تكون عارف MAC تبع الراوتر يلي عندك لو شفت أن الحزم بتروح ل MAC غير يلي عندك معناته في atackk بيصير رح ـحطلك جدول لأوامر تصفية .
يعني تعالوا نحل مثال أو سيناريو :
طالب مني عدد الحزم http يلي راحت للهكر كيف ممكن تجيبهم؟ أول شيء بحتاج MAC تبع الهكر عشان أقدر أشوف شو الحزم يلي وصلته .
طبعًا زي ما شفتوا فوق لما يصير الاختراق بصير يطلع إنه في dubplicate-address طيب بدنا نشوف حزم arp يلي بتحمل dubplicate-address عشان أشوف MAC تبع المخترق
مشاهدة المرفق 1826
في جهازين قاعدين بحملوا نفس MAC ما رح يأثر على شيء بس أنت لما تشوف هاي الحزم و في تطابق بتعرف من ip من router و مين ال المخترق هون عرفنا إنه MAC == 00:0c:29:e2:18:b4
الآن بدي أشوف http يلي راحت للـ 00:0c:29:e2:18:b4
مشاهدة المرفق 1827
هيك بقدر اشوف الحزم يلي وصلت للمخترق .
يمكنك الإطلاع على الدروس السابقة من هذه السلسلة من خلال الروابط التالية:
Wireshark: The Basics - part (1)
Wireshark: The Basics - part (2)
Wireshark : Packet Filtering - part (3)
Wireshark Traffic Analysis ( Nmap Scans ) - part (4)
إن أحسنت فمن الله و إن اسأت فمن نفسي و الشيطان
المرفقات
التعديل الأخير بواسطة المشرف:
