الحماية من هجمات netcut

Jakinzo أكتوبر 23, 2025

 في  أغلب  الأوقات  تواجه  هذا  النوع من الهجمات في  الشبكات المشتركة كالمقاهي او الجامعات واحيانا  قد  يكون بعض  الجيران   ،  قد  تلاحظ انقطاع للنت او ضعف صبيب النت  رغم قوة الأشارة او قربك  من مصدر  الاشارة   في هذه التدوينة سنتطرق الى حل هذه المشكلة  في  اجهزة  اللنكس والويندوز معا  بما  اني مستخدم للنكس  فسأبدأ في  الشطر  الاول باللنكس من  او ما يشابه هذه التوزيعة  المبنية على ubuntu  مثل لنكس لايت  وغيرها من التوزيعات الحرة  ....  



يعتبر هجوم netcut  لحجب صبيب النت( ARP spoofing/p poisoning attack)  فكرنيل اللنكس بها ادوات مدمجة للدفاع ضد  هذا  النوع  من الهجمات . يعمل NetCut باستغلال ARP (بروتوكول تحليل العناوين)، وهي الطريقة التي تستخدمها الأجهزة على الشبكة المحلية للعثور على عناوين MAC الخاصة ببعضها البعض. يرسل NetCut رسائل ARP مزيفة، مما يخدع جهاز الكمبيوتر الخاص بك لإرسال بياناته إلى جهاز المهاجم بدلاً من جهاز التوجيه (البوابة) الحقيقي.



إليك أكثر الطرق فعالية لحماية نفسك، من البسيطة إلى المتقدمة.


الطريقة الأولى: الحل البسيط والفعال (إدخال ARP ثابت)


يُعد هذا أحد أفضل وأبسط أساليب الحماية. يُطلب من جهاز الكمبيوتر عدم تغيير عنوان MAC الخاص بجهاز التوجيه، مهما كانت رسائل ARP التي يتلقاها.

  • ابحث عن عنوان IP وعنوان MAC الخاصين بجهازك
  • افتح نافذة طرفية (Ctrl+Alt+T).
  • ابحث عن عنوان IP لجهاز التوجيه (البوابة الافتراضية):

ip route show default

  • ابحث عن السطر الذي يشير إلى "افتراضي عبر X.X.X.X". عنوان IP هذا (مثل 192.168.1.1) هو بوابة الإنترنت الخاصة بك.
  • الآن، احصل على عنوان MAC الحقيقي لجهاز التوجيه. استخدم أمر arp. أولًا، أرسل أمر ping إلى البوابة للتأكد من وجودها في ذاكرة التخزين المؤقت لـ ARP:

ping -c 4 192.168.1.1

(استبدل 192.168.1.1 بعنوان IP الخاص ببوابتك)

  • الآن، ابحث عن عنوان MAC:

arp -n 192.168.1.1

سيبدو الناتج كالتالي: عنوان الجهاز، نوع الجهاز، عنوان الجهاز.... اكتب عنوان الجهاز (مثلًا: a1:b2:c3:d4:e5:f6). هذا هو عنوان MAC الصحيح.

إنشاء إدخال ARP ثابت دائم:

  • نحتاج إلى إضافة أمر إلى نصوص بدء تشغيل الشبكة. أسهل طريقة هي إضافته إلى ملف /etc/rc.local (قد تحتاج إلى إنشائه).
  • افتح الملف بصلاحيات الجذر:

sudo xed /etc/rc.local

أضف الأسطر التالية قبل سطر الخروج 0 (إذا كان الملف فارغًا، قم بإنشائه كما هو موضح أدناه):

#!/bin/sh -e

# rc.local - executed at the end of each multiuser runlevel

# Create a static ARP entry for the router

arp -s 192.168.1.1 a1:b2:c3:d4:e5:f6

exit 0

  • هام: استبدل 192.168.1.1 بعنوان IP الخاص ببوابتك، وa1:b2:c3:d4:e5:f6 بعنوان MAC الخاص ببوابتك.
  • احفظ الملف واخرج من المحرر.
  • اجعل ملف /etc/rc.local قابلاً للتنفيذ:

sudo chmod +x /etc/rc.local

أعد تشغيل الكمبيوتر أو قم بتشغيل الأمر arp يدويًا لتطبيق التغيير على الفور:

sudo arp -s 192.168.1.1 a1:b2:c3:d4:e5:f6

ماذا يفعل هذا: سيتجاهل نظامك الآن أي حزم ARP ضارة تحاول تغيير عنوان MAC الخاص بالموجه. يصبح NetCut عديم الفائدة ضدك.


الطريقة الثانية: استخدام أداة  (ARPWatch)

arpwatch هي أداة تراقب حركة مرور ARP على شبكتك، وتُرسل إليك بريدًا إلكترونيًا عند اكتشاف أي تغييرات. الغرض منها هو التنبيه أكثر من الوقاية، ولكنها مفيدة جدًا.

تثبيت  ARPWatch:

sudo apt update && sudo apt install arpwatch

سيبدأ بشكل تلقائيً وينشئ قاعدة بيانات لأزواج MAC/IP المعروفة. إذا ادّعى جهاز جديد أنه جهاز التوجيه الخاص بك، فسيسجل الحدث.

 للتاكد اكتب  الامر  التالي  في الطرفية : 

sudo grep arpwatch /var/log/syslog

 الطريقة 3: أداة متقدمة - استخدام arpon (ARP Defender)

arpon أداة مصممة خصيصًا لمنع هجمات التسمم بـ ARP. تعمل كخادم (خدمة خلفية) لحماية الشبكة المحلية.
ثبّت arpon. قد تحتاج إلى تفعيل مستودع Universe أولًا.
sudo apt install arpon

تشغيله في وضع الديمون:

sudo arpon -d -i wlan0

(استبدل wlan0 باسم واجهة الشبكة الخاصة بك. ابحث عنه باستخدام ip a - غالبًا ما يكون wlan0 لشبكة Wi-Fi أو eth0 لشبكة Ethernet).

إن تشغيله تلقائيًا عند بدء التشغيل أكثر تعقيدًا ويتضمن تحرير ملفات خدمة systemd، ولكن تشغيل الأمر أعلاه سيحمي جلستك.


الطريقة الرابعة: الحذر من الشبكات المفتوحة او الخاصة بالمقاهي :

  • استخدم شبكة VPN: تُشفّر شبكة VPN الجيدة جميع بياناتك. حتى لو نجح أحدهم في اختراقك عبر بروتوكول ARP، فلن يتمكن من رؤية بياناتك - إنها مجرد كلام مشفر. سيظل بإمكانه قطع اتصالك، لكنه لن يتمكن من التجسس عليك.
  • الشبكات الموثوقة: احذر من شبكات Wi-Fi العامة (المقاهي والمطارات)، فهي أهداف رئيسية لمثل هذه الهجمات. استخدم شبكة VPN عند استخدامك شبكة عامة.
  • حماية مستوى الشبكة: أفضل وسيلة حماية هي جهاز التوجيه نفسه. إذا كنت تملك جهاز التوجيه، فابحث عن ميزة تُسمى "حماية انتحال بروتوكول ARP" أو "بروتوكول ARP الثابت" أو "التطفل على DHCP" في إعداداته. سيؤدي تفعيل هذه الميزة إلى حماية جميع الأجهزة على شبكتك.

خلاصة  وتوصيات 

  1. بالنسبة لمعظم مستخدمي لينكس مينت، تُعد الطريقة الأولى (بروتوكول ARP الثابت) الحل الأمثل. إنها خفيفة الوزن، مدمجة، وفعالة للغاية.
  2. استخدم الطريقة الأولى. ستمنع هجمات NetCut تمامًا.
  3. استخدم شبكة افتراضية خاصة (VPN) (مثل ProtonVPN أو Mullvad أو غيرها) على أي شبكة لا تثق بها تمامًا. هذه ممارسة أمنية عامة جيدة.
  4. فكّر في تثبيت arpwatch (الطريقة الثانية) إذا كنت ترغب في تلقي تنبيهات بشأن أي نشاط مشبوه على شبكتك.
  5. بتطبيق الطريقة الأولى فقط، تكون قد أصبحت محصنًا فعليًا ضد NetCut على نظام لينكس مينت.


بالطبع لم  انسى  مستخدمي  الويندوز حماية جهاز كمبيوتر يعمل بنظام ويندوز من NetCut (انتحال بروتوكول ARP) ممكنة جدًا أيضًا، لكن الطرق تختلف عن لينكس. لا يحتوي ويندوز على طريقة مدمجة بسيطة لإنشاء إدخالات ARP ثابتة ودائمة، لذلك نعتمد بشكل أكبر على أدوات خارجية وجدران حماية مدمجة.

إليك أفضل الطرق لحماية جهاز الكمبيوتر الذي يعمل بنظام ويندوز، من الأسهل إلى الأكثر تقدمًا.

الطريقة الأولى: الحل الأمثل والأسهل (أدوات خارجية)

  • هذه هي الطريقة الأسهل والأكثر موثوقية لنظام ويندوز. صُممت هذه الأدوات خصيصًا لمكافحة انتحال ARP.
  • الخيار أ: XArp (موصى به بشدة)
  • XArp أداة رسومية رائعة تعمل كجدار حماية ARP. وهي مجانية للاستخدام الشخصي وتوفر حماية فعالة.
  • التنزيل والتثبيت:
  • تفضل بزيارة الموقع الرسمي: https://www.xarp.net/
  • حمّل النسخة المجانية لنظام ويندوز وثبّتها.
  • التكوين والتشغيل:
  • عند تشغيل XArp، سيكتشف شبكتك تلقائيًا.
  • يوفر الإصدار المجاني مستوى حماية جيدًا. سيُظهر تحذيرات إذا اكتشف محاولات تخريب ARP وسيحظرها بفعالية.
  • يمكنك ضبطه ليبدأ مع ويندوز لتكون محميًا دائمًا.
  • الخيار ب: AntiARP (أداة جيدة أخرى)
  • أداة أخرى شائعة وفعالة في هذه الفئة.
  • التنزيل والتثبيت: يمكنك العثور عليه من مواقع تنزيل موثوقة مثل MajorGeeks أو Softpedia (انتبه دائمًا لمصادر التنزيل).
  • يعمل هذا البرنامج بشكل مشابه لـ XArp، حيث يراقب حركة مرور ARP ويحظر الحزم المزيفة.
  • سبب عمله: تراقب هذه الأدوات حركة مرور ARP على شبكتك باستمرار. إذا حاول جهاز كمبيوتر آخر (مثل جهاز يعمل بنظام NetCut) ادعاء أنه جهاز التوجيه الخاص بك، فستتجاهل الأداة ردود ARP الضارة وتستمر في استخدام عنوان البوابة الصحيح.

الطريقة الثانية: استخدام جدار الحماية المدمج في Windows (متقدم)

  • تحتوي أنظمة Windows 10 و11 الحديثة على ميزة مدمجة تُسمى "حماية ذاكرة التخزين المؤقت لـ ARP" أو "فحص ARP الديناميكي" في جدار حماية Windows مع الأمان المتقدم. هذه الميزة غير مُفعّلة افتراضيًا وقد تكون إعداداتها معقدة.
  • تحذير: هذه الطريقة مخصصة للمستخدمين المتقدمين. قد تؤدي الإعدادات غير الصحيحة إلى قطع اتصال الشبكة.
  • افتح جدار حماية Windows Defender مع الأمان المتقدم.
  • اضغط على Win + R، واكتب wf.msc، ثم اضغط على Enter.
  • في الجزء الأيسر، انقر على "القواعد الواردة".
  • في الجزء الأيمن، انقر على "قاعدة جديدة...".
  • حدد "مخصص" وانقر على "التالي".
  • حدد "جميع البرامج" وانقر على "التالي".
  • ضمن "نوع البروتوكول"، حدد "ARP" من القائمة المنسدلة.
  • النطاق: اترك الإعدادات الافتراضية (أي عنوان IP).
  • الإجراء: حدد "حظر الاتصال".
  • الملف الشخصي: تطبيق على النطاق، خاص، عام.
  • الاسم: أعطِه اسمًا مثل "حظر انتحال بروتوكول ARP".
  • الآن، عليك إنشاء قاعدة صادرة متطابقة تقريبًا باتباع نفس الخطوات.
  • هذا يُنشئ قاعدة عامة جدًا. لكي تكون فعالة حقًا، ستحتاج إلى إنشاء قواعد محددة تسمح فقط باستجابات ARP من عنوان MAC الخاص بجهاز التوجيه (الراوتر) الشرعي، وهو أمر معقد.
  • توصية: بالنسبة لمعظم المستخدمين، تُعد الطريقة الأولى (XArp) أبسط وأكثر فعالية من محاولة تكوين جدار حماية Windows يدويًا لهذا الغرض.

الطريقة الثالثة: سطر أوامر ARP ثابت (إصلاح مؤقت)

  • كما هو الحال في لينكس، يمكنك إضافة مُدخل ARP ثابت. مع ذلك، هذا ليس دائمًا على ويندوز، وسيتم فقده بعد إعادة التشغيل أو انقطاع الشبكة. هذا مفيد للاختبار، ولكنه ليس حلاً طويل الأمد.
  • ابحث عن عنوان IP وعنوان MAC الخاصين بجهاز التوجيه:
  • افتح موجه الأوامر كمسؤول (اضغط على مفتاح Windows، واكتب cmd، وانقر بزر الماوس الأيمن على موجه الأوامر، ثم اختر "تشغيل كمسؤول").
  • ابحث عن عنوان IP لجهاز التوجيه (البوابة الافتراضية):
ipconfig

ابحث عن البوابة الافتراضية أسفل مُحوّل الشبكة النشط (مثلًا، 192.168.1.1).

الآن، احصل على عنوان MAC الحقيقي لجهاز التوجيه الخاص بك:

arp -a

(استبدل عنوان IP وعنوان MAC بمعلومات بوابة جهازك).

المشكلة: سيتم حذف هذا الإدخال الثابت عند إعادة تشغيل الجهاز. يمكنك إنشاء نص برمجي دفعة وإضافته إلى مجلد بدء التشغيل، ولكنه غير فعال وقد لا يعمل بكفاءة إذا لم يكن اتصالك بالشبكة مُكتملًا عند تشغيل النص البرمجي.

الطريقة الرابعة: الحماية القصوى (VPN)

  • هذه هي أفضل الممارسات، خاصةً على الشبكات غير الموثوقة (مثل المقاهي والمطارات، إلخ).
  • كيف يعمل: تُشفّر شبكة VPN جميع بيانات الإنترنت من جهاز الكمبيوتر الخاص بك إلى خادم VPN. حتى في حال نجاح هجوم NetCut واعتراض المهاجم لبياناتك، فإن كل ما يراه هو هراء مُشفّر. لن يتمكن من قراءة كلمات مرورك، أو الاطلاع على تصفحك، أو سرقة بياناتك.
  • ما لا يمنعه: لا يزال بإمكان المهاجم الماهر استخدام انتحال ARP لتنفيذ هجوم "قطع الاتصال" أو "DoS" (رفض الخدمة)، مما يؤدي إلى قطع اتصالك بالشبكة المحلية. لكنه لن يتمكن من رؤية نشاطك.
  • توصية: استخدم خدمة VPN موثوقة (مثل ProtonVPN، أو Mullvad، أو NordVPN، إلخ) عندما تكون على شبكة لا تتحكم بها.
  • ملخص وتوصيات لنظام Windows
  • الأفضل والأسهل: نزّل واستخدم XArp (الطريقة 1). إنه مجاني وسهل الإعداد، ويوفر حماية فعّالة وفورية ضد NetCut وأدوات انتحال ARP الأخرى. اضبطه ليعمل عند بدء التشغيل.
  • ممارسة أساسية: استخدم شبكة افتراضية خاصة (VPN) (الطريقة الرابعة) على شبكة Wi-Fi عامة أو غير موثوقة. هذا يحمي بياناتك من جميع أشكال التجسس، وليس فقط NetCut.
  • اختبار مؤقت: استخدم الأمر arp -s (الطريقة الثالثة) إذا كنت ترغب في معرفة ما إذا تم حل مشكلتك بسرعة، ولكن لا تعتمد عليه بشكل دائم.
  • بدمج XArp لحماية الشبكة المحلية وشبكة افتراضية خاصة (VPN) للخصوصية العامة والتشفير، سيكون جهاز الكمبيوتر الذي يعمل بنظام Windows محميًا بشكل ممتاز.









Tags

إرسال تعليق

0 تعليقات