IPv4 (32-bit):

• الفئات التقليدية (Classful):
  • Class A: 0.0.0.0 – 127.255.255.255 (قناع /8) – للأ networks الضخمة.
  • Class B: 128.0.0.0 – 191.255.255.255 (قناع /16) – للمتوسطة.
  • Class C: 192.0.0.0 – 223.255.255.255 (قناع /24) – للصغيرة.
  • Class D: 224.0.0.0 – 239.255.255.255 – Multicast.
  • Class E: 240.0.0.0 – 255.255.255.255 – محجوز للتجارب.
• CIDR (Classless Inter-Domain Routing): يتجاوز الفئات، يسمح بتقسيم مرن (مثال: 192.168.1.0/27).
• عناوين خاصة (RFC 1918):
  • 10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
  • 172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
  • 192.168.0.0/16 (192.168.0.0 – 192.168.255.255)
• APIPA (Automatic Private IP Addressing): 169.254.0.0/16 – عندما يفشل DHCP.
• Loopback: 127.0.0.0/8 (معظمهم 127.0.0.1) – لاختبار الشبكة محلياً.
• Multicast: 224.0.0.0/4 – يرسل لمجموعة من الأجهزة.
• Broadcast: عنوان مخصص (مثل 192.168.1.255) – يرسل لجميع الأجهزة في الشبكة.
• Anycast: عدة أجهزة تشارك نفس IP، يصل الطلب إلى الأقرب (يستخدم في DNS root).

IPv6 (128-bit):

• مميزات: مساحة عناوين هائلة، تكوين تلقائي (SLAAC)، أمان مدمج (IPsec)، جودة خدمة أفضل.
• أنواع العناوين:
  • Unicast (global: 2000::/3, unique local: fc00::/7, link-local: fe80::/10)
  • Multicast (ff00::/8)
  • Anycast (مثل unicast ولكن لعدة أجهزة)
• تكوين العنوان: EUI-64 (يشتق من MAC)، أو عشوائي للخصوصية (Privacy Extensions).

لماذا نقسم الشبكات؟ لتحسين الأداء، تقليل الازدحام، عزل الأقسام، توفير العناوين.

المفاهيم الأساسية:

• Network ID: أول عنوان في الشبكة (لا يمكن استخدامه للأجهزة).
• Broadcast Address: آخر عنوان في الشبكة (للبث لجميع الأجهزة).
• Usable Hosts: العناوين بين Network ID و Broadcast – العدد = 2^(عدد بتات المضيف) - 2.

مثال عملي: شبكة 192.168.1.0/24 نريد 4 شبكات فرعية.

• نقترض 2 بت من الجزء الخاص بالمضيف: القناع الجديد /26 (255.255.255.192).
• الشبكات الناتجة:
  • شبكة 1: 192.168.1.0/26 (المضيفين: 192.168.1.1 – 192.168.1.62، broadcast: 192.168.1.63)
  • شبكة 2: 192.168.1.64/26 (المضيفين: 192.168.1.65 – 192.168.1.126، broadcast: 192.168.1.127)
  • شبكة 3: 192.168.1.128/26 (المضيفين: 192.168.1.129 – 192.168.1.190، broadcast: 192.168.1.191)
  • شبكة 4: 192.168.1.192/26 (المضيفين: 192.168.1.193 – 192.168.1.254، broadcast: 192.168.1.255)

VLSM (Variable Length Subnet Mask): تقسيم غير متساوٍ لتوفير العناوين. مثال: شبكة /24 نريد شبكة لـ 100 جهاز (تحتاج /25)، وشبكة لـ 50 جهاز (/26)، وشبكتين لـ 20 جهاز (/27).

أدوات مساعدة: ipcalc و sipcalc في لينكس، أو مواقع مثل subnet-calculator.com.

رأس TCP (TCP Header):

• Source Port (16), Destination Port (16), Sequence Number (32), Acknowledgment Number (32).
• Data Offset (4), Reserved (3), Flags (9), Window Size (16), Checksum (16), Urgent Pointer (16), Options (متغير).

الأعلام (Flags): SYN, ACK, FIN, RST, PSH, URG, ECE, CWR, NS.

حالات TCP (TCP States): CLOSED, LISTEN, SYN-SENT, SYN-RECEIVED, ESTABLISHED, FIN-WAIT-1, FIN-WAIT-2, CLOSE-WAIT, LAST-ACK, TIME-WAIT, CLOSING.

Three-way Handshake: (1) SYN من العميل، (2) SYN-ACK من الخادم، (3) ACK من العميل.

إنهاء الاتصال (Four-way Handshake): (1) FIN من أحد الطرفين، (2) ACK من الآخر، (3) FIN من الآخر، (4) ACK من الأول.

التحكم بالتدفق (Flow Control): باستخدام Window Size (نافذة الاستقبال). إذا كان window=0، يتوقف المرسل ويرسل probes.

التحكم بالازدحام (Congestion Control):

• Slow Start: يبدأ بـ CWND = 1, 2, 4, ... حتى threshold.
• Congestion Avoidance: زيادة خطية بعد threshold.
• Fast Retransmit: عند استقبال 3 ACKs مكررة، يعيد إرسال المقطع المفقود.
• خوارزميات الازدحام: Tahoe, Reno, NewReno, BIC, CUBIC (الافتراضي في لينكس).

خيارات TCP (TCP Options): MSS, Window Scaling, Timestamps, SACK (Selective Acknowledgment), No-Operation, End of Option List.

SACK (Selective ACK): يسمح للمستقبل بإعلام المرسل بالقطاعات التي استلمها بشكل صحيح، لتجنب إعادة إرسال كل شيء.

TCP Timestamps: لحساب RTT (زمن الرحلة ذهاباً وإياباً) ومنع wrap-around للـ Sequence Number.

Window Scaling: لزيادة حجم النافذة إلى أقصى (يستخدم shift count).

رأس UDP: Source Port (16), Destination Port (16), Length (16), Checksum (16). لا يوجد أرقام تسلسل أو تأكيدات.

مميزات UDP: بدون اتصال (connectionless)، overhead قليل، سرعة عالية، مناسب للتطبيقات التي تتحمل فقدان بعض البيانات.

استخدامات UDP:

• DNS (المنفذ 53) – معظم طلبات DNS تكون UDP.
• DHCP (المنفذ 67/68).
• TFTP (Trivial FTP) – منفذ 69.
• SNMP (المنفذ 161).
• البث المباشر (Streaming) والألعاب (VoIP).
• QUIC (بروتوكول جوجل) – مبني على UDP ويوفر مزايا TCP.

UDP-Lite: يسمح بوصول الحزم حتى مع وجود أخطاء في الحمولة (Checksum يغطي جزء فقط).

أنواع رسائل ICMP:

• Echo Request (8) / Echo Reply (0): ping.
• Destination Unreachable (3): شبكة/مضيف/منفذ غير قابل للوصول. كود 0 = شبكة غير موجودة، 1 = مضيف غير موجود، 2 = بروتوكول غير معروف، 3 = منفذ غير معروف، 4 = fragmentation needed but DF set.
• Redirect (5): تخبر المضيف بوجود مسار أفضل.
• Time Exceeded (11): TTL وصل للصفر (يستخدم في traceroute).
• Parameter Problem (12): خطأ في رأس IP.
• Timestamp Request (13) / Timestamp Reply (14): لقياس زمن الرحلة.
• Address Mask Request (17) / Reply (18): (قديم) لمعرفة قناع الشبكة.

هجمات ICMP:

• ICMP Flood (Ping Flood): إرسال العديد من طلبات Echo دون انتظار ردود.
• Smurf Attack: إرسال ping إلى broadcast address مع عنوان مصدر مزيف (الضحية)، فتغرق الضحية بالردود.
• Ping of Death: إرسال حزمة ICMP أكبر من 65535 بايت (كانت تسبب تعطيل بعض الأنظمة القديمة).
• ICMP Redirect Attack: إرسال رسائل redirect مزيفة لتغيير مسار حركة المرور.

عملية ARP الطبيعية:

1. المضيف A يريد معرفة MAC الخاص بـ B (IP = 192.168.1.5).
2. A يرسل ARP request (broadcast): "من لديه IP 192.168.1.5؟ أخبر MAC الخاص بك".
3. جميع الأجهزة تستقبل، لكن B فقط يرد بـ ARP reply (unicast) يحتوي على MAC الخاص به.
4. A يخزن النتيجة في ARP cache لمدة معينة (عادة 2-20 دقيقة).

ARP cache: يمكن عرضه بأمر arp -a في ويندوز/لينكس.

ARP spoofing (ARP poisoning): إرسال ARP replies مزيفة لربط IP الخاص بالبوابة (أو أي هدف) ب MAC المهاجم. مثال: المهاجم يرسل للضحية أن MAC البوابة هو MAC الخاص به، وللبوابة أن MAC الضحية هو MAC الخاص به. تصبح حركة المرور تمر عبر المهاجم (MITM).

أدوات ARP spoofing: arpspoof (من dsniff)، ettercap، bettercap.

الوقاية من ARP spoofing:

• استخدام ARP ثابت (static entries) للأجهزة الهامة.
• تفعيل DAI (Dynamic ARP Inspection) على السويتشات (يتحقق من ARP packets باستخدام DHCP snooping).
• استخدام برامج مراقبة مثل Arpwatch.
• تشفير الاتصالات (HTTPS, SSH) يجعل MITM أقل فائدة.

Gratuitous ARP: إرسال ARP reply دون طلب، يستخدم للإعلان عن وصول جهاز جديد أو تحديث cache.

RIP (Routing Information Protocol):

• Distance Vector protocol، يستخدم عدد القفزات (hop count) كمقياس (max 15).
• إصدارات: RIPv1 (broadcast، classful)، RIPv2 (multicast 224.0.0.9، يدعم VLSM)، RIPng (IPv6).
• يعمل فوق UDP منفذ 520.
• Slow convergence، عرضة لحلقات التوجيه (تستخدم Split Horizon، Poison Reverse).

OSPF (Open Shortest Path First):

• Link-state protocol، يستخدم خوارزمية SPF (Dijkstra).
• يعمل مباشرة فوق IP (بروتوكول 89).
• يقسم الشبكة إلى مناطق (areas) لتقليل الحمل. المنطقة 0 هي backbone.
• أنواع الحزم: Hello (لاكتشاف الجيران)، DBD (وصف قاعدة البيانات)، LSR (طلب حالة الارتباط)، LSU (تحديث حالة الارتباط)، LSAck (تأكيد).
• سريع التقارب، مناسب للشبكات الكبيرة.

BGP (Border Gateway Protocol):

• بروتوكول التوجيه الخارجي بين أنظمة ذاتية (AS).
• Path Vector protocol، يعمل فوق TCP منفذ 179.
• يتبادل معلومات حول مسارات الشبكات وخصائصها (AS path, next hop, local preference, MED).
• أنواع BGP: eBGP (بين ASes مختلفة)، iBGP (داخل نفس AS).
• BGP attributes تستخدم لاختيار أفضل مسار (مثل shortest AS path, lowest MED, etc).

ما هو VLAN؟ تقسيم شبكة مادية إلى شبكات منطقية معزولة. الأجهزة في VLAN مختلف لا ترى بعضها بدون جهاز توجيه.

Trunking (802.1Q): يسمح بحمل حركة عدة VLANs على نفس الكابل. يضيف tag من 4 بايت لإطار Ethernet: VLAN ID (12 بت، 1-4094)، Priority (3 بت)، CFI (1 بت).

VTP (VLAN Trunking Protocol): (خاص بسيسكو) لمزامنة معلومات VLAN بين السويتشات. له مشاكل أمنية (VTP password).

DTP (Dynamic Trunking Protocol): للتفاوض على trunk (قد يسبب ثغرات).

VLAN Hopping: هجوم للوصول إلى VLAN آخر.

• Switch Spoofing: يتظاهر المهاجم بأنه سويتش ويتفاوض على trunk، فيستقبل حركة جميع VLANs.
• Double Tagging: يرسل المهاجم إطاراً ب tag داخلي (VLAN الهدف) و tag خارجي (VLAN الخاص بالترانك). يمر الإطار ويتم إزالة التاغ الخارجي.

PVLAN (Private VLAN): لعزل الأجهزة داخل نفس VLAN (مثل منع الاتصال بين الخوادم).

Wireshark: الأداة الرسومية الأشهر.

• Capture Filters (BPF): قبل الالتقاط (مثل host 192.168.1.1, tcp port 80).
• Display Filters: بعد الالتقاط (مثل ip.src == 192.168.1.1, tcp.flags.syn == 1).
• Follow Stream: لمشاهدة تدفق TCP بالكامل.
• Statistics: تحليل البروتوكولات، المحادثات، نقاط النهاية.

tcpdump: أداة سطر أوامر قوية.

• مثال: tcpdump -i eth0 -w capture.pcap (حفظ).
• مثال: tcpdump -i eth0 'tcp port 80'.
• مثال: tcpdump -i eth0 -n -v 'icmp'.

مبادئ الالتقاط: في شبكة سويتش، لا تصل الحزم إلا للوجهة. لذلك لالتقاط حركة الأجهزة الأخرى نحتاج:

• Port Mirroring (SPAN): نسخ حركة منفذ إلى آخر (على السويتش).
• ARP spoofing: لجعل حركة الضحية تمر عبر جهازنا.
• استخدام hub بدلاً من سويتش: (قديم).

• SYN Flood: إرسال العديد من حزم SYN مع عنوان مصدر مزيف، الخادم يخصص موارد لكل طلب وينتظر ACK (لا يأتي). يؤدي لاستنفاذ الموارد.
• UDP Flood: إرسال كمية كبيرة من حزم UDP إلى منافذ عشوائية، يستنزف عرض النطاق.
• ICMP Flood: ذكرنا سابقاً.
• Smurf Attack: استغلال broadcast.
• Ping of Death: ذكر.
• DHCP Starvation: إرسال طلبات DHCP بعناوين MAC مزيفة حتى يستنفذ خادم DHCP العناوين المتاحة، ثم يقدم المهاجم خادم DHCP مزيف (Rogue DHCP) ليوزع إعدادات ضارة (مثل بوابة المهاجم).
• DNS Spoofing (Cache Poisoning): إدخال سجلات DNS مزيفة في cache خادم DNS، لتوجيه المستخدمين إلى مواقع ضارة.
• ARP Spoofing: تم شرحه.
• MAC Flooding: إرسال العديد من العناوين MAC المختلفة لملء جدول MAC في السويتش، فيتحول السويتش إلى hub (يرسل لكل المنافذ) مما يسمح بالاستماع.
• VLAN Hopping: تم شرحه.
• STP Manipulation: إرسال BPDUs مزيفة لتغيير topology (قد يؤدي لانقطاع الخدمة أو MITM).
• TCP Session Hijacking: تخمين أرقام التسلسل لحقن حزم في اتصال قائم.

جدران الحماية (Firewalls):

• Packet Filter: يفحص الرؤوس فقط (IP, port, protocol). سريع لكن يمكن خداعه.
• Stateful Inspection: يتتبع حالة الاتصالات (TCP handshake). يسمح بحركة الرد فقط للاتصالات المصرح بها.
• Application/Proxy Firewall: يفحص محتوى التطبيق (مثل HTTP).
• Next-Gen Firewall (NGFW): يدمج IDS/IPS، التعرف على التطبيقات، مكافحة البرامج الضارة.

IDS/IPS:

• IDS (Intrusion Detection System): يراقب وينبه.
• IPS (Intrusion Prevention System): يمنع الهجمات (يرسل RST، يحظر IP).
• التوقيعات (Signatures): قواعد للكشف عن الأنماط المعروفة (مثل Snort).
• Anomaly-based: يتعلم السلوك الطبيعي وينبه عند الانحراف.

VPN (Virtual Private Network):

• Site-to-Site VPN: يربط شبكتين عبر الإنترنت (IPsec).
• Remote Access VPN: موظف يتصل بالشركة (SSL VPN، OpenVPN).
• IPsec: بروتوكول آمن (ESP للتشفير، AH للتوثيق). يعمل في وضع النقل أو النفق.
• OpenVPN: مفتوح المصدر، يعمل على UDP/TCP.
• WireGuard: جديد، بسيط وسريع.

802.1X (Port-Based Authentication): يستخدم للتحكم بالوصول إلى الشبكة على مستوى المنفذ. يتضمن ثلاثة أطراف: Supplicant (الجهاز)، Authenticator (السويتش)، Authentication Server (RADIUS). بروتوكول EAP.

معايير IEEE 802.11:

• 802.11a (5 GHz, 54 Mbps)
• 802.11b (2.4 GHz, 11 Mbps)
• 802.11g (2.4 GHz, 54 Mbps)
• 802.11n (Wi-Fi 4, 2.4/5 GHz, MIMO, حتى 600 Mbps)
• 802.11ac (Wi-Fi 5, 5 GHz, MU-MIMO, حتى 3.5 Gbps)
• 802.11ax (Wi-Fi 6/6E, 2.4/5/6 GHz, OFDMA, حتى 9.6 Gbps)

القنوات والترددات: 2.4 GHz به 3 قنوات غير متداخلة (1,6,11). 5 GHz به قنوات أكثر وأقل ازدحاماً. عرض القناة: 20, 40, 80, 160 MHz.

الأمان:

• WEP: RC4 ضعيف، يمكن كسره بدقائق.
• WPA (TKIP): قديم، به ثغرات.
• WPA2 (AES-CCMP): الأكثر شيوعاً، آمن نسبياً (إلا من KRACK).
• WPA3 (SAE): يحل مشكلة KRACK، يمنع هجمات القاموس دون اتصال.

هجمات الواي فاي:

• Deauthentication Attack: إرسال إطارات deauth مزيفة لفصل الأجهزة (لجمع handshake).
• Evil Twin: نقطة وصول مزيفة بنفس SSID لالتقاط بيانات الاعتماد.
• KRACK: ثغرة في بروتوكول WPA2 تسمح بإعادة استخدام nonce.
• PMKID Attack: تستهدف بعض الراوترات للحصول على PMKID وكسر كلمة المرور.
• WPS PIN Attack: بعض الراوترات لديها PIN ثابت يمكن كسره (أداة reaver).

يفصل مستوى التحكم (Control Plane) عن مستوى البيانات (Data Plane). يوجد متحكم مركزي (Controller) يبرمج أجهزة الشبكة (Switches) عبر بروتوكول مثل OpenFlow.

مكونات SDN:

• OpenFlow Switch: يحتوي على Flow Tables تحدد كيفية معالجة الحزم.
• Controller: مثل OpenDaylight, ONOS, Ryu. يرسل القواعد للسويتشات.
• Applications: برامج فوق المتحكم (مثل موازنة التحميل، جدار الحماية).

فوائد SDN: مرونة، إدارة مركزية، أتمتة، توفير تكاليف.

تحديات SDN: نقطة فشل وحيدة (المتحكم)، أمان البروتوكول.

• nmap: nmap -sS -sV -O 192.168.1.0/24 (مسح سريع، كشف الخدمات، نظام التشغيل).
• netdiscover: netdiscover -r 192.168.1.0/24 (اكتشاف الأجهزة في الشبكة).
• hping3: hping3 -S -p 80 --flood 192.168.1.100 (SYN flood).
• bettercap: bettercap -eval "set arp.spoof.targets 192.168.1.100; arp.spoof on; net.sniff on" (ARP spoofing + sniffing).
• wireshark: لتحليل الحزم.
• aircrack-ng: airodump-ng wlan0mon (مسح الشبكات اللاسلكية).
• reaver: reaver -i wlan0mon -b [BSSID] -vv (هجوم WPS).
• macchanger: macchanger -r wlan0 (تغيير MAC).
• dnsspoof: echo "192.168.1.100 google.com" > hosts; dnsspoof -i eth0 -f hosts (تزوير DNS).

• QoS (Quality of Service): تحديد أولويات حركة المرور (مثل VoIP > تصفح). تستخدم تقنيات مثل: Classification, Marking (DSCP), Queuing (WFQ, LLQ), Shaping.
• LACP (Link Aggregation Control Protocol): دمج عدة وصلات شبكة في واجهة منطقية واحدة لزيادة السعة والتوفرية (802.3ad).
• SNMP (Simple Network Management Protocol): لجمع معلومات من أجهزة الشبكة (راوترات، سويتشات). الإصدارات: v1, v2c (community string), v3 (أمان).
• NetFlow / sFlow: بروتوكولات لجمع إحصائيات حركة المرور (من Cisco NetFlow، sFlow). تساعد في تحليل الشبكة واكتشاف الهجمات.
• MPLS (Multiprotocol Label Switching): تقنية لتسريع توجيه الحزم باستخدام التسميات (Labels). تستخدم في شبكات مزودي الخدمة (VPN, Traffic Engineering).
• GRE (Generic Routing Encapsulation): نفق بسيط لتغليف بروتوكولات متعددة.
• VXLAN (Virtual Extensible LAN): تغليف Ethernet داخل UDP لتوسيع VLANs عبر الشبكة (يستخدم في مراكز البيانات).