القائمة الرئيسية

الصفحات

تعديل المشاركة

تدريب متكامل في الأمن السيبراني

(0)
تدريب عملي متكامل في الأمن السيبراني — دورة مكتوبة للمدوّنة

تدريب عملي متكامل في الأمن السيبراني (للمعمل المعزول)

دورة شاملة: إعداد معمل، أدوات المسح والتحليل، تقييم الثغرات، كشف الحوادث، تحليل برمجيات خبيثة، ومشروع نهائي — كل الأكواد والشرح داخل هذه الصفحة. نفّذ كل شيء داخل بيئة معزولة ومع إذن واضح.

مقدمة وتحذيرات هام

هذا التدريب تعليمي ومصمم للعمل داخل معمل معزول (Host-only / Internal network). يمنع تشغيل أي أوامر أو تنفيذ اختبارات على أنظمة خارجيّة أو شبكات لا تملك تصاريح صريحة لاختبارها. استخدام هذا المحتوى خارج نطاق المختبر ومع أنظمة غير مرخّصة قد يُعَد جريمة.

تنبيه قانوني وأخلاقي: جميع الأمثلة والأكواد الموجودة هنا لأغراض تعليمية داخل بيئة تحكمية فقط. لا أتحمل أي مسؤولية عن سوء استخدام هذه المعلومات.

التهيئة الموصى بها: مضيف قوي (RAM 16GB+)، VirtualBox أو VMware، توزيعات Kali Linux، VMs ضحية (Metasploitable, OWASP Juice Shop)، وحاويات/VMs لELK.

1. إعداد المعمل (Cyber Lab)

مبادئ تصميم المعمل

  • العزل: عزّل المختبر عن الشبكة الحقيقية باستخدام Host-only أو Internal network.
  • قابلية إعادة الإنشاء: استخدم صور VM وSnapshots.
  • التوثيق: سجّل كل الأوامر والنتائج.
  • النسخ الاحتياطي: التقط Snapshots قبل كل تجربة عدائية.

المكونات الموصى بها

  • Host machine: CPU 4+ cores, RAM 16GB+, SSD.
  • Hypervisor: VirtualBox أو VMware.
  • توزيعات: Kali Linux (مهاجم)، Metasploitable / OWASP Juice Shop (ضحايا)، ELK Stack (تحليل السجلات).
  • أدوات تحليل: Wireshark, Suricata, Snort, Nmap, Burp Suite.

خطوات سريعة لإعداد المعمل

  1. ثبّت VirtualBox/VMware على المضيف.
  2. أنشئ شبكة Host-only (مثال: 192.168.56.0/24).
  3. أضف VMs: Kali، Metasploitable، ELK.
  4. رفض الوصول للإنترنت أو تقييده عبر NAT مع Port Forwarding إذا لزم.
  5. التقط Snapshot لكل VM.

أمثلة أوامر مساعدة (على مضيف Debian/Ubuntu)

sudo apt update
sudo apt install virtualbox -y

نصيحة: ابدأ بالشبكة المعزولة Host-only ثم أضف NAT عند الحاجة لتحميل تحديثات داخل VM واحد فقط.

2. الاستطلاع والمسح (Recon & Scanning)

الهدف: اكتشاف الأجهزة، الخدمات والمنافذ داخل الشبكة المعزولة بدون التسبب بأذى. الأدوات الأساسية: Nmap, nbtscan, arp-scan.

أوامر Nmap نموذجية

# مسح SYN سريع لمضيف واحد
nmap -sS -Pn 192.168.56.101

# مسح شامل وتحديد الخدمات ونظام التشغيل
nmap -sS -sV -O -p- 192.168.56.101

# حفظ النتائج بصيغة XML
nmap -sS -sV -O -p- -oX scan_results.xml 192.168.56.101

شرح سريع للخيارات: -sS مسح SYN (سريع)، -sV كشف إصدارات الخدمات، -O محاولة كشف نظام التشغيل.

تمرين عملي مقترح

  1. نفّذ مسحًا على شبكة المعمل: nmap -sS -Pn 192.168.56.0/24
  2. حلّل النتائج، حدّد الخدمات غير المتوقعة، وسجّلها في تقرير بسيط.

احفظ نتائج الفحص بصيغ متعددة (XML, greppable) لتحليلها لاحقًا وأتمتة المعالجة.

3. تحليل الشبكة والبروتوكولات (Wireshark & tshark)

تعلم قراءة الحزم (packets) مهم لفهم سلوك الشبكة والكشف عن مؤشرات الاختراق.

التقاط الحزم باستخدام tshark

# التقاط كل الحزم وحفظها في ملف
sudo tshark -i eth0 -w capture.pcap

# التقاط HTTP فقط
sudo tshark -i eth0 -f "tcp port 80" -w http_only.pcap

استخراج طلبات HTTP من ملف pcap

tshark -r capture.pcap -Y http.request -T fields -e ip.src -e http.host -e http.request.uri

استخدم Wireshark لتحليل بصري: ضع فلاتر مثل ip.addr == 192.168.56.101 أو http.request.

4. تقييم الثغرات وإدارة نقاط الضعف (Vulnerability Assessment)

الهدف: تحديد الثغرات، تصنيفها وإعداد خطة تصحيح (Remediation). أدوات مفيدة: OpenVAS, Nikto, Nessus (مدفوع), OWASP ZAP.

أمر Nikto للفحص البسيط

nikto -h http://192.168.56.102:8080 -output nikto_report.html

ملاحظات عملية

  • صنّف الثغرات حسب CVSS.
  • ابدأ بالتصحيحات ذات الأثر العالي (Critical/High).
  • أعد الفحص بعد تطبيق التصحيحات للتحقق.

5. أمن التطبيقات والبرمجة الآمنة (AppSec)

أمن التطبيقات يتطلب حماية من هجمات مثل SQL Injection و XSS و CSRF. سنعرض أمثلة قابلة للتطبيق لتوضيح الممارسة الصحيحة.

منع SQL Injection — مثال Python مع sqlite3

import sqlite3

conn = sqlite3.connect('example.db')
cursor = conn.cursor()

# خطأ: عرضة للحقن
# username = input("user: ")
# query = f"SELECT * FROM users WHERE username = '{username}'"
# cursor.execute(query)

# صحيح: استخدم معاملات مُهيأة
username = input("user: ")
cursor.execute("SELECT * FROM users WHERE username = ?", (username,))
rows = cursor.fetchall()
print(rows)

منع XSS

عند عرض مدخلات المستخدم في صفحة HTML، اعمل على تعقيمها (escape) أو استخدم مكتبات إطار العمل التي تقوم بذلك تلقائيًا.

فحص تطبيقات الويب

استخدم Burp Suite أو OWASP ZAP لاختبار تطبيقات الويب داخل المعمل وحاول إيجاد XSS، SQLi، و CSRF بطريقة أخلاقية ومراقبة.

6. الكشف والاستجابة للحوادث (Detection & IR)

رصد الحوادث لا يقل أهمية عن الوقاية؛ فبدون أنظمة كشف فعّالة، قد تمرّ هجمات كبيرة دون رصد.

مراقبة لوج بسيطة باستخدام Python

#!/usr/bin/env python3
import time
import re
from pathlib import Path

LOGFILE = Path("/var/log/auth.log")  # عدِّل حسب نظامك في المعمل
PATTERN = re.compile(r"Failed password for .* from (?P<ip>\d+\.\d+\.\d+\.\d+)")

def follow(file):
    file.seek(0,2)
    while True:
        line = file.readline()
        if not line:
            time.sleep(0.5)
            continue
        yield line

with LOGFILE.open() as f:
    for line in follow(f):
        m = PATTERN.search(line)
        if m:
            ip = m.group('ip')
            print(f"[ALERT] Failed login from {ip}")
            # يمكنك إضافة إجراءات: تسجيل، إرسال إشعار، أو حظر IP

قاعدة Suricata تعليمية

alert dns any any -> any any (msg:"DNS query to suspicious domain pattern"; content:"bad-example"; sid:1000001; rev:1;)

استخدم SIEM مثل ELK أو Splunk لجمع اللوجات، تحليلها، وإنشاء تنبيهات مركزة.

7. تحليل برمجيات خبيثة (Malware Analysis) — آمن ومقيد

تحليل البرمجيات الخبيثة يجب أن يكون في بيئة معزولة تمامًا (بدون إنترنت للعينة) وبحذر شديد.

خطوات تحليل آمن

  1. التقاط Snapshot للـ VM قبل الاختبار.
  2. تحليل ثابت (Static Analysis): استخدم أدوات مثل strings, file, pefile.
  3. تحليل ديناميكي (Dynamic Analysis): تشغيل العيّنة داخل Sandbox ومراقبة العمليات والاتصالات.

أوامر مساعدة (تحليل ثابت)

strings suspect.exe | head -n 50
file suspect.exe

لا تقم بتشغيل أي عينات خطرة على جهاز المضيف. استعمل VM مخصّص للعينة فقط.

8. المشروع النهائي: سيناريو متكامل (كشف – استجابة – تقرير)

وصف موجز: داخل المعمل، ستقوم بمحاكاة مسح (Recon) من Kali على OWASP Juice Shop، تكوين تنبيه في Suricata، حظر مصدر المسح، وجمع الأدلة (pcap, logs) لإعداد تقرير حادث احترافي.

خطوات المشروع

  1. من Kali نفّذ فحصًا سريعًا: nmap -sS -Pn 192.168.56.102
  2. ابدأ التقاط الحزم على الـ ELK/مضيفة المراقبة: sudo tshark -i eth0 -w capture.pcap
  3. أضف قاعدة Suricata لاكتشاف نمط المسح.
  4. عندما يصدر التنبيه، نفّذ حظر مؤقت للمصدر: sudo iptables -A INPUT -s 192.168.56.101 -j DROP
  5. حلِّل pcap وExtract convs: tshark -r capture.pcap -q -z conv,ip
  6. أعد بناء تقرير الحادث: ملخّص، دليل (pcap, logs)، تحليل، إجراءات تصحيحية، توصيات مستقبلية.

أوامر مفيدة للتقرير

# استخراج محادثات IP من ملف pcap
tshark -r capture.pcap -q -z conv,ip

# حفظ نتيجة nmap بصيغة XML
nmap -sS -sV -O -p- -oX final_scan.xml 192.168.56.102

الهدف من المشروع هو ربط كل ما تعلّمته: المسح → الكشف → الحظر → التحقيق → التوثيق.

مصادر ومراجع مجانية

  • TryHackMe، Hack The Box — بيئات تعليمية قانونية.
  • OWASP Projects — Juice Shop, Top10.
  • SANS Reading Room — أوراق عملية وتقارير.
  • مستودعات GitHub لأدوات وتحليلات (ابحث عن أسماء الأدوات أعلاه).

© تدريب الأمن السيبراني — للاستخدام التعليمي فقط

أخر المواضيع من قسم : الامن السيبراني

تعليقات

إرسال تعليق