Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L25
الفرق الحمراء — الهجومخبير85mL25

هجمات بروتوكولات الشبكة المتقدمة

اختطاف BGP، إعادة توجيه DNS، وهجمات MITM

#BGP#DNS#ARP#MITM

بروتوكولات الإنترنت بُنيت على الثقة

تشبيه — شرح مبسط
الإنترنت بُني عام 1969 على افتراض «كل من يصل للشبكة موثوق». BGP، DNS، ARP، NTP — كلها صُممت قبل ظهور المهاجمين. اليوم نضع طبقات ثقة (TLS, BGPsec, DNSSEC, RPKI) فوق هذا الأساس الهش. هذا الدرس يكشف الطبقة التحتية.
مخاطر عالية
هذه الهجمات تؤثر على بنية تحتية مشتركة. أي اختبار خارج معامل معزولة قد يُسبّب أضراراً جسيمة لأطراف ثالثة و يُعدّ جريمة. التركيز هنا: كيف تكتشفها و تتحصّن منها كجهة حكومية.

BGP Hijacking — اختطاف الإنترنت

BGP هو «نظام مرور الإنترنت». كل ASN يعلن أي IP ranges يملكها، و الـ routers تختار أقصر مسار. لو أعلن شخص بكذبٍ أنه يملك مدى لا يخصّه، تتدفق الحركة إليه.

أنواع الهجوم

  • Prefix Hijack — أعلن /24 لـ Google. ASNs قريبة منك ستوجّه الحركة لك.
  • Sub-prefix hijack — /25 أكثر تحديداً يفوز على /24 الحقيقي (BGP يفضّل الأطول).
  • Route Leak — مزود ينشر مسارات customer إلى peers خطأً (Pakistan Telecom YouTube 2008).
  • BGP for DDoS amplification.

أمثلة شهيرة

  • 2008 Pakistan → YouTube — حذف عالمي لمدة ساعتين.
  • 2017 Rostelecom — اختطف حركة Google, Apple, Facebook لدقائق.
  • 2018 Amazon Route 53 — هجوم استهدف MyEtherWallet، سُرقت $150K.
  • 2022 KlaySwap — اختطاف BGP أدى لسرقة $1.9M.
الدفاع
  1. RPKI (Resource Public Key Infrastructure) — توقيع رقمي للملكية. ASNs ترفض إعلانات غير موقّعة.
  2. BGPsec — توقيع المسار كاملاً.
  3. MANRS initiative — أفضل الممارسات.
  4. اشترك مع مزودي مراقبة (BGPStream, ThousandEyes, Kentik) للإنذار الفوري.
  5. راقب كل إعلانات لمداك في RIPE RIS, RouteViews.
  6. اطلب من upstream ISPs تطبيق strict prefix filtering.

DNS Attacks

1) DNS Cache Poisoning (Kaminsky)

الإجابات على استعلامات DNS تأتي بـ ID 16-bit. لو خمّن المهاجم الـ ID قبل وصول الإجابة الحقيقية، يضع جوابه المزيف في الـ cache.

2008 Kaminsky bug جعل الهجوم عملياً في ثوانٍ. الحل: port randomization + DNSSEC.

2) DNS Tunneling

payload
# قنوات سرية عبر DNS — يصعب حجبها
iodine, dnscat2, DNSStager
# بيانات السرقة في NULL/TXT records
# C2 كامل عبر DNS فقط

3) DNS Rebinding

المهاجم يتحكم بـ DNS server. أول استعلام يرجع IP عام، الثاني يرجع 127.0.0.1.

attack flow
1. الضحية يفتح evil.com (في المتصفح)
2. evil.com يرجع 1.2.3.4 → JS يحمّل
3. JS ينام دقيقة، DNS TTL = 0
4. JS يطلب evil.com مرة أخرى → الآن يرجع 192.168.1.1
5. JS الآن يصل router الضحية، router admin panel، أي شيء داخلي
   كل ذلك بنفس الـ origin، فلا CORS يمنعه
الدفاع
  • Host header validation على كل خدمة داخلية.
  • طلب authentication دائماً (لا يكفي «الشبكة الداخلية»).
  • متصفح: تطبيقات مهمة تستخدم WebAuthn/origin-bound tokens.
  • عيّن min DNS TTL في الـ resolver لـ private IPs.

4) DNSSEC و موضع الحرب

  • DNSSEC يوقّع كل records — يمنع poisoning.
  • تبني محدود (نحو 30% عالمياً).
  • هجمات NSEC walking تكشف كل subdomain.

ARP Spoofing — ملك الشبكات المحلية

ARP لا يحوي مصادقة. أي جهاز يستطيع أن يقول: «أنا 192.168.1.1» و الكل يصدقه.

bash
# inside a lab network only
sudo arpspoof -i eth0 -t VICTIM_IP GATEWAY_IP
sudo arpspoof -i eth0 -t GATEWAY_IP VICTIM_IP
echo 1 > /proc/sys/net/ipv4/ip_forward

# أو أداة شاملة
ettercap -T -M arp:remote /VICTIM// /GATEWAY//
bettercap -iface eth0

تأثيرات

  • MITM على كل حركة الضحية.
  • SSL stripping (لو الموقع لم يفعّل HSTS).
  • حقن JavaScript في الـ HTTP responses.
  • DNS spoofing ضمن الـ session.
الدفاع
  • DAI (Dynamic ARP Inspection) على الـ switches.
  • DHCP snooping + IP source guard.
  • 802.1X لمنع أجهزة غير مصرّح بها من الشبكة أصلاً.
  • HSTS preload + الـ certificate pinning يمنع SSL stripping.
  • راقب جدول ARP لتغيرات مفاجئة (arpwatch).

DHCP Attacks

  • DHCP Starvation — استهلاك كل الـ pool بطلبات مزيفة.
  • Rogue DHCP — رد على طلبات بأسرع من السيرفر الحقيقي → DNS مهاجم، gateway مهاجم.
  • DHCPv6 + mitm6 — هجوم شائع على Active Directory (سبق في درس Advanced AD).

الدفاع: DHCP Snooping على الـ switches، تعيين trusted ports فقط.

NTP — الزمن سلاح

  • NTP Amplification: طلب monlist ينتج رد ~200x — استُخدم في DDoS بحجم 400 Gbps.
  • NTP Time Manipulation: تأخير ساعة الضحية = إبطال شهادات TLS / Kerberos / TOTP.
  • الدفاع: NTS (Network Time Security)، chrony بدلاً من ntpd القديم.

DDoS — تحت المجهر

طبقات الهجوم

L3/L4 — Volumetric
SYN flood, UDP flood, NTP/DNS/Memcached amplification. تُقاس بـ Gbps أو Mpps.
L7 — Application
HTTP flood, Slowloris, slow POST. تستهدف الموارد لا الخط. أصعب اكتشافاً.
Protocol
Smurf, Ping of Death (تاريخي), TCP state exhaustion.
Reflection / Amplification
طلب صغير → رد كبير → عبر IP مزيف للضحية. NTP, DNS, Memcached, CLDAP, SNMP.

الدفاع الفعلي

  1. مزود scrubbing: Cloudflare, Akamai Prolexic, AWS Shield Advanced, Imperva.
  2. Anycast لتوزيع الحمولة جغرافياً.
  3. تقليل سطح الـ UDP (لا تفتح خدمات قابلة للـ amplification علناً).
  4. BCP38 (anti-spoofing) عند الـ ISP.
  5. تخطيط سعة + اتفاقيات DDoS-protection مسبقة.
  6. Application: rate limit + caching + CAPTCHA + bot management.

TLS Attacks الكلاسيكية

  • SSL Strip — تخفيض إلى HTTP — تحلّه HSTS + preload.
  • Heartbleed (CVE-2014-0160) — تسريب 64KB من ذاكرة OpenSSL لكل طلب.
  • POODLE, BEAST, CRIME, BREACH, DROWN, ROBOT — كلها على إصدارات/ciphers قديمة.
  • TLS 1.3 يُلغي معظم هذا.
  • Lucky 13 — timing على CBC-MAC.
  • SNI spoofing لتجاوز filtering.

ICMP و IPv6 — أبواب منسية

  • ICMP redirect — إعادة توجيه حركة (نادر اليوم لكن لا يزال يعمل على شبكات قديمة).
  • SLAAC attack — الإعلان عن نفسك كـ IPv6 router افتراضي على شبكة ليس فيها IPv6 — كل الحركة تمرّ بك.
  • RA Guard bypass.
  • الدفاع: RA Guard, DHCPv6 guard, ND inspection على الـ switches.

مراقبة الشبكة كجهة حكومية

  1. Full PCAP retention على المحيط (zeek + arkime).
  2. NetFlow/sFlow على كل الـ aggregation switches.
  3. JA3/JA4 fingerprinting لكشف أدوات معروفة.
  4. Threat intel feeds مدمجة في الـ NDR (Spamhaus, Shadowserver, الحكومي الوطني).
  5. BGP route monitoring + DNS DDoS monitoring.
  6. تدريبات هجوم/دفاع كل ربع تشمل سيناريوهات شبكية.
السابق
الهروب من الحاويات وأنظمة المحاكاة الافتراضية
التالي
صندوق الأدوات الشامل