هجوم الرجل في المنتصف (Man in the Middle Attack)
مقدمة عن الهجوم
هجوم الرجل في المنتصف هو نوع من الهجمات الأمنية حيث يقوم المهاجم بإدخال نفسه بين طرفين يتواصلان عبر الشبكة، مما يمكنه من اعتراض، تعديل أو إعادة توجيه البيانات المتبادلة دون علمهما. هذا النوع من الهجمات يمكن أن يستهدف البيانات الحساسة مثل تفاصيل تسجيل الدخول، بطاقات الائتمان، والمعلومات الشخصية.
كيفية الهجوم
أحد الأساليب الشائعة لتنفيذ هجوم الرجل في المنتصف هو عن طريق التخريب العنواني (ARP Spoofing)، حيث يقوم المهاجم بإرسال رسائل ARP مزيفة في شبكة LAN.
Bettercap: أداة لتنفيذ واختبار هجوم الرجل في المنتصف
تثبيت Bettercap
sudo apt-get update
sudo apt-get install bettercap
استخدام Bettercap لاختبار هجمات ARP Spoofing
- بدء جلسة Bettercap:
sudo bettercap
- العثور على أجهزة الشبكة:
net.recon on
- تنفيذ هجوم ARP Spoofing:
set arp.spoof.fullduplex true set arp.spoof.targets [IP الضحية] arp.spoof on
تتبع البيانات وتحليلها
بمجرد أن يتم تنفيذ الهجوم بنجاح، يمكن استخدام Bettercap لتحليل البيانات التي يتم اعتراضها. يمكنك استخدام مختلف الوحدات في Bettercap لفحص البيانات، مثل قراءة رسائل HTTP وHTTPS أو حتى البيانات المرسلة عبر تطبيقات مثل WhatsApp أو Telegram.
Bettercap | تضعيف بروتوكول HTTPS
- تحميل الملف:
يمكنك تحميل الملف من خلال الزر في نهاية المقال زر "تنزيل"
- استبدال ملف
hstshijack.cap
في Bettercap:sudo cp /path_to_desktop/hstshijack.cap /usr/share/bettercap/caplets/hstshijack/hstshijack.cap
- استخدام الملف المعدل في Bettercap:
sudo bettercap -caplet hstshijack/hstshijack.cap
تجربة عملية: اختبار تضعيف بروتوكول HTTPS مع Bettercap
- بدء جلسة Bettercap:
sudo bettercap -iface [اسم الواجهة]
- تفعيل الاعتراض:
set arp.spoof.targets [IP الضحية] arp.spoof on set net.sniff on
- تفعيل hstshijack caplet:
hstshijack/hstshijack.cap
بعد إعداد أداة Bettercap بالملف المعدل كما وضحنا سابقًا، سنقوم الآن بتجربة عملية لمعرفة كيف يمكن لهذه الأداة أن تؤثر على أمان الاتصالات المشفرة. سنستخدم موقع “Stack Overflow” كمثال لهذه التجربة.
الخطوة 1: إعداد Bettercap لاعتراض الحركة
الخطوة 2: إجراء البحث في Google
طلب من الضحية أو الشخص الذي تقوم بالتجربة معه أن يفتح متصفحه ويجري بحثًا على Google عن “Stack Overflow”. طلب منهم النقر على رابط الموقع من نتائج البحث.
الخطوة 3: مراقبة الحركة في Bettercap
عندما يقوم الضحية بالوصول إلى الموقع، ستتمكن من رؤية حركة المرور الخاصة به في Bettercap. لاحظ أن البيانات التي يتم اعتراضها قد لا تكون مشفرة بالكامل بسبب تضعيف بروتوكول HTTPS الذي أجريته.
الخطوة 4: محاولة الوصول المباشر للموقع
طلب من الضحية الآن أن يفتح نافذة متصفح جديدة وأن يدخل مباشرة عنوان URL لـ “Stack Overflow” (`https://stackoverflow.com`). هذه المرة، الموقع سيستخدم الاتصال المشفر HTTPS.
الخطوة 5: تقييم الأمان
- مراقبة التشفير: حتى مع تضعيف HTTPS، قد تجد أن بعض الاتصالات مع المواقع الكبيرة مثل “Stack Overflow” لا تزال تستخدم تشفيرًا قويًا. هذا يحدث بسبب تقنيات أمان متقدمة مثل HSTS (HTTP Strict Transport Security) والشهادات الرقمية الموثوقة التي تمنع التلاعب بالاتصالات.
- تحليل النتائج: إذا استطاع Bettercap كسر التشفير بنجاح، فستتمكن من رؤية البيانات غير المشفرة في واجهة الأداة. إن لم يحدث ذلك، يظهر مدى قوة وفعالية الإجراءات الأمنية المستخدمة في حماية الاتصالات.
التفسير: السبب وراء قدرة بعض المواقع على الحفاظ على أمانها حتى عند محاولة تضعيف HTTPS يعود إلى استخدامها لتقنيات مثل HSTS، التي تفرض استخدام HTTPS فقط، بالإضافة إلى شهادات SSL/TLS الموثقة التي تضمن أمان الاتصال بين المستخدم والموقع.
هذه التجربة تُظهر أهمية استخدام أدوات اختبار الاختراق بمسؤولية وأخلاق، وتُعلم المستخدمين عن الطرق المختلفة التي يمكن بها تأمين وتضعيف الاتصالات الرقمية.