الوحدة الرابعة: مراقبة وتحليل حركة الشبكة

مقدمة الوحدة

في هذه الوحدة، سنغوص في عالم **مراقبة الشبكة** وأهميتها الكبرى في الأمن السيبراني. ستتعلم كيف يمكن لأدوات المراقبة أن تكون عينك الساهرة على شبكتك، لتكشف لك أدق التفاصيل حول حركة المرور، وتساعدك على اكتشاف الأنشطة غير المصرح بها، وتفسير سلوك الشبكة لتحديد أي **تهديدات أمنية** محتملة قبل أن تتفاقم.

الوقت المقدر لإكمال هذه الوحدة: 6 ساعات

الأهداف التعليمية

التعرف على مفهوم **مراقبة الشبكة** وأهميتها في الأمن السيبراني.
فهم الأدوات الرئيسية المستخدمة في المراقبة، مثل **Wireshark** و**Nagios**.
القدرة على **تتبع نشاط الشبكة** وتفسير سلوكياتها.
فهم بنية **الإطارات والحزم** ومحتوياتها البروتوكولية.
تطبيق التقنيات الأساسية لـ**تحليل الحزم** و**اكتشاف الأنشطة المشبوهة**.

🔍 القسم 1: مقدمة إلى أدوات مراقبة الشبكة

ما هي أدوات مراقبة الشبكة؟

هي **برامج وتطبيقات متخصصة** تُستخدم لمتابعة وتحليل حركة البيانات والأنشطة المختلفة داخل الشبكة. تهدف هذه الأدوات إلى ضمان الأداء الأمثل للشبكة، اكتشاف الأعطال، والأهم من ذلك، **كشف أي نشاط ضار أو غير طبيعي** قد يشير إلى اختراق أمني أو تهديد.

أمثلة على أدوات المراقبة الشائعة:

Wireshark:

أداة قوية لتحليل الحزم (Packet Analyzer) تُظهر تفاصيل كل اتصال شبكي لحظة بلحظة.

Nagios:

نظام مراقبة شامل يراقب أداء الأجهزة، الخوادم، والتطبيقات، ويطلق تنبيهات فورية عند وجود أي مشكلة أو تجاوز للحدود المعرفة.

SolarWinds NPM (Network Performance Monitor):

أداة احترافية لمراقبة أداء الشبكة، تحليل استخدام النطاق الترددي (Bandwidth)، وإنشاء تقارير مفصلة عن صحة الشبكة.

الاستخدامات الرئيسية لأدوات المراقبة:

تحديد المشاكل الشبكية والأعطال قبل تفاقمها وتأثيرها على العمليات.
مراقبة أداء الأجهزة والخدمات الحاسمة لحظة بلحظة لضمان استمراريتها.
اكتشاف السلوكيات الغريبة أو المريبة داخل الشبكة، مثل محاولات الاختراق أو انتشار البرمجيات الخبيثة.
جمع البيانات لأغراض التدقيق الأمني والامتثال للوائح.

✨ القسم 2: تتبع نشاط الشبكة

مفهوم تتبع النشاط:

**تتبع نشاط الشبكة** هو عملية مستمرة لمراقبة وتسجيل وتحليل جميع البيانات المارة داخل الشبكة. يهدف هذا التتبع إلى **فهم سلوك الأجهزة والمستخدمين**، وتحديد ما إذا كان هناك أي نشاط غير مألوف أو **تهديد أمني محتمل** قد يتطلب اتخاذ إجراء فوري.

خطوات عملية لتتبع النشاط:

تحديد النقاط الحرجة: البدء بتحديد الأصول الأكثر حساسية في الشبكة (مثل خوادم البيانات، قواعد البيانات، أو أجهزة التوجيه الرئيسية) التي تتطلب مراقبة مكثفة.
تهيئة أدوات المراقبة: إعداد وتكوين الأدوات المناسبة مثل Wireshark لالتقاط الحزم، أو Nagios لمراقبة أداء الخوادم وإطلاق التنبيهات.
تحليل البيانات المجمعة: مراقبة الاتجاهات والسلوكيات على المدى الطويل، والبحث عن أي أنماط غير طبيعية أو مؤشرات على نشاط ضار، ثم تفسير هذه البيانات لاتخاذ قرارات أمنية مستنيرة.

لماذا هذا مهم لأمن الشبكات؟

لأن **التعرف المبكر على التهديدات** من خلال تتبع النشاط يمكن أن يمنع الاختراقات المدمرة، ويساعد على حماية البيانات الحساسة، والحفاظ على استمرارية العمليات، وبالتالي يعزز من مرونة الشبكة ضد الهجمات السيبرانية.

📦 القسم 3: فهم الإطارات (Frames) والبروتوكولات (Protocols)

ما هو الإطار (Frame)؟

**الإطار** هو وحدة نقل بيانات أساسية في طبقة ربط البيانات (Data Link Layer) من نموذج OSI. إنه بمثابة "مظروف" يحمل البيانات عبر الشبكة، ويتضمن معلومات أساسية مثل **عنوان وجهة البيانات**، **عنوان المصدر**، و**نوع البروتوكول** المستخدم.

تحليل الإطار باستخدام Wireshark:

باستخدام Wireshark، يمكنك تحليل محتويات الإطار بدقة:

تطبيق **فلاتر عرض** محددة (مثل `http` لفلترة حركة HTTP فقط) لعزل حركة المرور المطلوبة.
تحديد **عنوان MAC الخاص بالمرسل والمستقبل** من رأس الإطار.
استعراض **رؤوس الطلبات والاستجابات** داخل الإطار لفهم تفاعلات التطبيقات.

معلومات البروتوكولات الأساسية:

**TCP (Transmission Control Protocol):** يضمن الاتصال الموثوق والمنظم بين الأجهزة، حيث يتأكد من وصول البيانات بالترتيب الصحيح ودون فقدان.
**IP (Internet Protocol):** يحدد عنوان كل جهاز على الشبكة (عنوان IP) ويقوم بتوجيه الحزم عبر الشبكات المختلفة.
**HTTP (Hypertext Transfer Protocol):** البروتوكول الأساسي المستخدم في تصفح الإنترنت ونقل صفحات الويب، وهو غير مشفر بشكل افتراضي (على عكس HTTPS).
**DNS (Domain Name System):** يُستخدم لترجمة أسماء النطاقات سهلة الحفظ (مثل google.com) إلى عناوين IP يمكن لأجهزة الكمبيوتر فهمها.

🧾 القسم 4: تحليل الحزم (Packets) ومحتوياتها

ما هي الحزمة (Packet)؟

**الحزمة** هي وحدة بيانات صغيرة تُستخدم لنقل المعلومات عبر الشبكة، وهي جزء من الإطار. تحتوي الحزمة على **المعلومات الفعلية (Payload)** التي يتم إرسالها بالإضافة إلى **البيانات المساعدة (Metadata)** اللازمة لتوجيهها وتحديد مصدرها ووجهتها.

كيف نحلل الحزم بفعالية؟

**التقاط الحزم:** استخدام أدوات مثل Wireshark لالتقاط تدفق البيانات من واجهة الشبكة.
**تطبيق الفلاتر:** استخدام فلاتر عرض (مثل `http.request`، `tcp.port == 80`، `ip.addr == 192.168.1.1`) لتركيز التحليل على حركة مرور معينة.
**استعراض التفاصيل:** فحص الطبقات المختلفة للحزمة (مثل Ethernet, IP, TCP, HTTP) للبحث عن بيانات حساسة (بيانات تسجيل الدخول) أو رؤوس طلبات غير طبيعية.

اكتشاف الأنشطة المشبوهة من تحليل الحزم:

**مراقبة الزيادات غير الطبيعية في الحركة:** قد تشير الزيادة المفاجئة في حركة مرور الشبكة إلى هجوم DoS/DDoS أو نشاط برمجيات خبيثة.
**تتبع محاولات الدخول غير المصرح بها:** البحث عن فشل تسجيل الدخول المتكرر أو محاولات الوصول إلى منافذ غير معتادة.
**تحليل المصدر والوجهة:** التحقق من أصالة الاتصالات وتحديد ما إذا كانت هناك اتصالات مشبوهة بأجهزة أو نطاقات خارج الشبكة.
**الكشف عن البيانات غير المشفرة:** تحديد أي نقل لبيانات حساسة (مثل كلمات المرور) عبر بروتوكولات غير آمنة (مثل HTTP بدلاً من HTTPS).

📘 القسم 5: تطبيق عملي

مثال 1: تحليل حركة HTTP باستخدام Wireshark

لتحليل حركة مرور الويب (HTTP) على شبكتك وكشف بعض تفاصيل الاتصال:

افتح **Wireshark** وابدأ التقاط حركة المرور على الواجهة المناسبة (مثل Wi-Fi أو Ethernet).
اذهب إلى متصفح الويب الخاص بك وزر أي موقع يستخدم **HTTP** (وليس HTTPS)، مثل بعض المدونات القديمة أو المواقع التجريبية.
في Wireshark، طبق **فلتر العرض** `http`.
ستظهر لك الحزم الخاصة بـ HTTP. ابحث عن طلبات **GET** (لطلب الصفحات) و**POST** (لإرسال البيانات مثل بيانات تسجيل الدخول).
انقر بزر الماوس الأيمن على إحدى حزم POST واختر `Follow > TCP Stream` لترى المحتوى الكامل للطلب والاستجابة، بما في ذلك أي بيانات مرسلة (مثل اسم المستخدم وكلمة المرور إذا تم إرسالها بدون تشفير).

مثال 2: كشف محاولة اختراق محتملة عبر Nagios

لنفرض أنك تستخدم Nagios لمراقبة خادم ويب حرج:

يتم تهيئة **Nagios** لمراقبة استخدام وحدة المعالجة المركزية (CPU)، الذاكرة (RAM)، وحركة مرور الشبكة على خادم الويب الخاص بك.
تتلقى **تنبيهًا عاجلاً** من Nagios يشير إلى أن استخدام CPU على خادم الويب قد ارتفع فجأة إلى 95% بشكل غير طبيعي، وأن هناك زيادة هائلة في الاتصالات الصادرة.
تقوم بتسجيل الدخول إلى الخادم وتفحص **السجلات (Logs)** (مثل سجلات الويب وسجلات النظام) وسجلات الجدار الناري.
تكتشف أن هناك عددًا كبيرًا من الطلبات المشبوهة القادمة من عناوين IP متعددة تحاول الوصول إلى مسار معين غير موجود على الخادم، مما يشير إلى هجوم **Brute-Force** أو **DDoS** على التطبيق.
بناءً على هذا التحليل، تقوم بحظر عناوين IP المشبوهة وتطبيق قواعد أمنية إضافية على الجدار الناري.

✅ ملخص الوحدة: نقاط رئيسية

لقد تعلمنا في هذه الوحدة كيف أن مراقبة وتحليل حركة الشبكة ليسا مجرد عمليات فنية، بل هما خط دفاع أساسي في الأمن السيبراني. الجدول التالي يلخص المفاهيم والأدوات التي تناولناها:

المفهوم/الأداة	الوصف	الاستخدام الرئيسي في الأمن السيبراني
أدوات مراقبة الشبكة	برامج لمتابعة وتحليل حركة البيانات والأنشطة في الشبكة.	تحديد المشاكل، مراقبة الأداء، وكشف الأنشطة الضارة.
تتبع نشاط الشبكة	مراقبة مستمرة للبيانات لفهم سلوك الأجهزة والمستخدمين.	اكتشاف التهديدات مبكراً، فهم سلوك المهاجمين، وحماية البيانات.
الإطارات والبروتوكولات	وحدات نقل البيانات الأساسية والقواعد المنظمة للاتصال.	فهم تدفق البيانات، تفسير الاتصالات، وتحديد المشاكل.
تحليل الحزم	فحص تفصيلي لمحتوى الحزم المنقولة عبر الشبكة.	تحليل دقيق لحركة المرور، اكتشاف البيانات الحساسة غير المشفرة، وتحديد الأنشطة المشبوهة.
Wireshark	محلل حزم لـ"رؤية" البيانات التي تمر عبر الشبكة.	التقاط وتحليل الحزم، استكشاف الأخطاء، اكتشاف الأنشطة المشبوهة.
Nagios	نظام مراقبة الأجهزة والخوادم والتطبيقات.	تنبيهات فورية عن المشاكل، مراقبة الموارد، كشف الأعطال والأداء غير الطبيعي.

اختبار المعرفة تمارين عملية الوحدة التالية