The Hacker's Path: دليل مصاحب
هذا المقال يُكمّل الجزء 1: مقدمة والجزء 2: إتقان Flipper. تعلمت الهجوم. الآن ابنِ دفاعك.
الشهر الماضي بحثت عن أسعار منصات honeypot التجارية. Thinkst Canary تطلب 5,000 دولار سنوياً لخمسة أجهزة. مزودون آخرون يتقاضون لكل مستشعر شهرياً، وبيانات التهديد الخاصة بك تمر عبر بنيتهم التحتية أولاً. يرون المهاجمين قبلك.
هذا جنون.
الـ honeypot هو نظام طُعم مصمم ليتعرض للهجوم. تنشر خدمات وهمية (SSH، SMB، FTP) وتراقب ما يحدث. المهاجمون يظنون أنهم يخترقون خادماً حقيقياً، لكنهم في الواقع يسلمونك معلومات عن أدواتهم وتقنياتهم وأهدافهم. هذا دفاع هجومي.
المفهوم بسيط. التنفيذ لا ينبغي أن يكلف قسط رهن عقاري.
لذلك بنينا HoneyAegis: منصة honeypot مستضافة ذاتياً، أصلية Docker، مع تحليل AI محلي. Raspberry Pi 5 يشغّل المستشعرات. لابتوب Alienware قديم يشغّل العقل. كل شيء يبقى في شبكتك. لا سحابة. لا اشتراكات. لا مزود يرى بيانات التهديد قبلك.
انشر في ظهيرة واحدة. امتلك كل شيء إلى الأبد.
ما هو الـ honeypot؟
قبل أن نبني، دعنا نوضح ما نبنيه.
الـ honeypot هو نظام ضعيف عمداً يُنشر لجذب المهاجمين. يبدو حقيقياً بما يكفي لخداع الماسحات الآلية والمخترقين الفضوليين، لكنه مزيف بالكامل. لا بيانات حقيقية، لا مستخدمين حقيقيين، لا خدمات حقيقية، فقط خدمات محاكاة تسجل كل شيء.
لماذا تريد واحداً؟
- إنذار مبكر: المهاجمون يضربون honeypot قبل أنظمتك الحقيقية. تراهم قادمين.
- استخبارات التهديد: تعلم أي أدوات يستخدمون، أي بيانات اعتماد يجربون، ماذا يبحثون عنه.
- أنماط الهجوم: ابنِ قاعدة بيانات تقنيات خاصة بتعرض شبكتك.
- التدريب: شاهد هجمات حقيقية تحدث. أفضل من أي محاكاة.
- اختبار الاختراق: هدف آمن لتمارينك الهجومية.
ما يحاكيه HoneyAegis
Cowrie: honeypot لـ SSH وTelnet. يسجل نصوص الجلسات كاملة، يلتقط بيانات الاعتماد، يسجل الأوامر.
Dionaea: يلتقط البرمجيات الخبيثة. يحاكي SMB وFTP وHTTP وخدمات أخرى. يخزن الحمولات للتحليل.
OpenCanary: honeypot متعدد الخدمات. يحاكي مشاركات Windows وMySQL وSSH والمزيد. قابل للتكوين بشكل كبير.
هندسة العقدتين
HoneyAegis يستخدم فصلاً متعمداً: المستشعر يواجه الإنترنت، العقل يبقى محمياً.
الإنترنت ──► الراوتر (توجيه المنافذ) ──► Pi 5 المستشعر
│
│ Vector (السجلات)
▼
الشبكة الداخلية ◄──────► Alienware العقل
│
├── PostgreSQL + TimescaleDB
├── FastAPI Backend
├── Ollama (AI محلي)
├── Next.js Dashboard
└── Redis + Celeryلماذا الفصل؟
المستشعر مكشوف عمداً. سيتعرض للهجوم. هذا هو الهدف بأكمله. إذا حدث شيء كارثي، إذا هرب مهاجم من حاويات honeypot، فـ Pi جهاز بقيمة 60 دولاراً لا يحتوي سوى طُعم. امسحه. أعد نشره. ثلاثون دقيقة.
العقل يحتوي كل شيء ذو قيمة: قاعدة بياناتك، لوحة القيادة، تحليل AI، بيانات الهجوم التاريخية. لا يلمس الإنترنت أبداً. يجلس في شبكتك الداخلية، يستقبل السجلات من المستشعر عبر قناة آمنة.
⚠️ العقل لا يجب أن يواجه الإنترنت أبداً
توجيه المنافذ للعقل يعني اختراق فوري. العقل يحتوي قاعدة PostgreSQL وAPI ولوحة القيادة. كشفه يعني دعوة المهاجمين لبنيتك التحتية الحقيقية. المستشعر فقط يحصل على توجيه المنافذ. منافذ honeypot فقط. لا شيء آخر.
تكوين الأجهزة
هذا ما نشغّله. هذا ليس التكوين الوحيد الصالح، بل إعدادنا الأمثل بأجهزة كانت لدينا بالفعل.
العقدة 1 — المستشعر (Raspberry Pi 5 4GB)
| المكون | المواصفات |
|---|---|
| الدور | مستشعر honeypot مخصص |
| نظام التشغيل | Raspberry Pi OS (64-bit) |
| المعالج | Broadcom BCM2712، رباعي النواة Cortex-A76 @ 2.4 GHz |
| الذاكرة | 4 GB LPDDR4X |
| التخزين | microSD أو NVMe عبر HAT |
| الخدمات | Cowrie، Dionaea، OpenCanary، Vector، إضافات HoneyAegis |
| استخدام الذاكرة | ~2 إلى 2.5 GB تقريباً |
| الشبكة | مكشوف للإنترنت (منافذ honeypot فقط) |
العقدة 2 — العقل (Alienware 15 R3)
| المكون | المواصفات |
|---|---|
| الدور | الواجهة الخلفية، تحليل AI، لوحة القيادة، قاعدة البيانات |
| نظام التشغيل | Kali GNU/Linux 2025.4 (rolling) |
| المعالج | Intel Core i7-7700HQ (4 أنوية / 8 خيوط @ 2.8 GHz) |
| كرت الشاشة | NVIDIA GeForce GTX 1070 Mobile — 8 GB VRAM |
| الذاكرة | 16 إلى 32 GB (الحد الأدنى 16 GB موصى به) |
| بطاقة الشبكة | Qualcomm Atheros Killer E2500 Gigabit Ethernet |
| الخدمات | FastAPI، PostgreSQL+TimescaleDB، Redis، Celery، Ollama، Next.js، Traefik |
| استخدام الذاكرة | ~7.2 GB تقريباً |
| الشبكة | داخلية فقط — لا تُكشف أبداً |
لماذا GTX 1070؟
AI المحلي يحتاج تسريع GPU ليكون مفيداً. GTX 1070 تملك 8GB VRAM، كافية لتشغيل Ollama مع llama3.1:8b بأريحية. هذا يمنحك ملخصات تهديد مُولّدة بـ AI دون إرسال بيانات لـ OpenAI أو Anthropic. الـ AI يشرح ما يفعله المهاجمون بلغة واضحة، كلياً على أجهزتك.
الإعداد خطوة بخطوة: مستشعر Pi 5
لنبنِ من الصفر. نبدأ بالمستشعر، Pi 5 الذي يواجه الإنترنت.
المرحلة 1: إعداد مستشعر Raspberry Pi 5
الوقت: 45 دقيقة
المتطلبات: Raspberry Pi 5 (4GB)، بطاقة microSD أو NVMe HAT، مصدر طاقة، كابل Ethernet، كمبيوتر آخر مع SSH
1.1 تثبيت Raspberry Pi OS
حمّل Raspberry Pi Imager على كمبيوترك. أدخل بطاقة microSD.
# In Raspberry Pi Imager:
# 1. Choose Device: Raspberry Pi 5
# 2. Choose OS: Raspberry Pi OS Lite (64-bit)
# 3. Choose Storage: Your microSD card
# 4. Click the gear icon for advanced options:
# - Set hostname: honeypot-sensor
# - Enable SSH with password authentication
# - Set username/password (not pi/raspberry)
# - Configure WiFi if needed (but use Ethernet)
# 5. Write the imageأدخل البطاقة في Pi 5، وصّل الـ Ethernet وشغّله.
1.2 التكوين الأولي
اتصل بـ Pi عبر SSH:
bash# من كمبيوترك
ssh [email protected]
# حدّث كل شيء
sudo apt update && sudo apt upgrade -y
# ثبّت الأدوات الأساسية
sudo apt install -y git curl vim htop1.3 تعيين IP ثابت
Pi يحتاج IP يمكن التنبؤ به لتوجيه المنافذ. استبدل عناوين IP بمخطط شبكتك:
bash# تحقق من اسم اتصالك الحالي
nmcli con show
# عيّن IP ثابت (عدّل لشبكتك)
sudo nmcli con mod "Wired connection 1" ipv4.addresses 192.168.1.50/24
sudo nmcli con mod "Wired connection 1" ipv4.gateway 192.168.1.1
sudo nmcli con mod "Wired connection 1" ipv4.dns "8.8.8.8,8.8.4.4"
sudo nmcli con mod "Wired connection 1" ipv4.method manual
sudo nmcli con up "Wired connection 1"
# تحقق
ip addr show eth01.4 تثبيت Docker
bash# ثبّت Docker بالسكريبت السريع
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh
# أضف مستخدمك لمجموعة docker
sudo usermod -aG docker $USER
# ثبّت إضافة Docker Compose
sudo apt install -y docker-compose-plugin
# سجّل خروج وادخل مجدداً لتطبيق تغييرات المجموعة
exit
# أعد الاتصال بـ SSH، ثم تحقق
docker --version
docker compose version1.5 نشر مستشعر HoneyAegis
bash# استنسخ المستودع
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# انسخ قالب البيئة
cp .env.example .env
# حرّر التكوين
nano .envفي ملف .env، عيّن هذه القيم:
bash# تكوين المستشعر
HONEYAEGIS_MODE=sensor
BRAIN_HOST=192.168.1.100 # IP الـ Alienware
SENSOR_NAME=pi5-sensor-01انشر حزمة المستشعر:
bash# ابدأ خدمات المستشعر
docker compose --profile sensor up -d
# راقب الحاويات وهي تبدأ
docker ps
# الحاويات المتوقعة:
# - honeyaegis-cowrie (honeypot SSH/Telnet)
# - honeyaegis-dionaea (التقاط البرمجيات الخبيثة)
# - honeyaegis-opencanary (متعدد الخدمات)
# - honeyaegis-vector (شحن السجلات)
# تحقق من السجلات للتأكد من أن كل شيء يعمل
docker compose logs -f
الإعداد خطوة بخطوة: عقل Alienware
الآن العقل، العقدة المحمية التي تعالج كل شيء.
المرحلة 2: إعداد عقل Alienware
الوقت: 30 دقيقة
المتطلبات: Kali Linux مثبت، تعريفات NVIDIA مُعدّة، متصل بنفس الشبكة مع Pi
2.1 التحقق من Kali وNVIDIA
bash# تحقق من إصدار Kali
cat /etc/os-release
# تحقق من عمل تعريف NVIDIA
nvidia-smi
# يجب أن ترى:
# - إصدار التعريف (535+ موصى به)
# - GTX 1070 مع ~8GB VRAM
# - إصدار CUDA2.2 تثبيت Docker على Kali
bash# حدّث وثبّت Docker
sudo apt update
sudo apt install -y docker.io docker-compose-v2
# فعّل وابدأ Docker
sudo systemctl enable docker
sudo systemctl start docker
# أضف مستخدمك لمجموعة docker
sudo usermod -aG docker $USER
# سجّل خروج وادخل مجدداً، ثم تحقق
docker --version
docker compose version2.3 تثبيت NVIDIA Container Toolkit
هذا يسمح لحاويات Docker بالوصول إلى GPU، مطلوب لـ Ollama:
bash# أضف مستودع NVIDIA container toolkit
distribution=$(. /etc/os-release; echo $ID$VERSION_ID)
curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
sudo tee /etc/apt/sources.list.d/nvidia-docker.list
# ثبّت الأدوات
sudo apt update
sudo apt install -y nvidia-container-toolkit
# عدّ Docker لاستخدام NVIDIA runtime
sudo nvidia-ctk runtime configure --runtime=docker
sudo systemctl restart docker
# اختبر الوصول لـ GPU في حاوية
docker run --rm --gpus all nvidia/cuda:12.0-base nvidia-smi2.4 نشر عقل HoneyAegis
bash# استنسخ المستودع
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# انسخ قالب البيئة
cp .env.example .env
# حرّر التكوين
nano .envعدّ العقل:
bash# تكوين العقل
HONEYAEGIS_MODE=brain
OLLAMA_GPU=true
POSTGRES_PASSWORD=your-strong-password-here
JWT_SECRET=another-strong-secret
ADMIN_PASSWORD=dashboard-admin-passwordانشر:
bash# ابدأ حزمة العقل كاملة
docker compose --profile brain up -d
# التشغيل الأول يأخذ بضع دقائق
# راقب التقدم:
docker compose logs -f
# بعد بدء الحاويات، حمّل نموذج AI
docker exec -it honeyaegis-ollama ollama pull llama3.1:8b
# يحمّل ~4.7GB - يأخذ بضع دقائق
# تحقق من كل الحاويات
docker ps
# الحاويات المتوقعة:
# - honeyaegis-fastapi (واجهة API الخلفية)
# - honeyaegis-postgres (قاعدة البيانات)
# - honeyaegis-redis (ذاكرة مؤقتة/صف)
# - honeyaegis-celery (عمال الخلفية)
# - honeyaegis-ollama (AI محلي)
# - honeyaegis-nextjs (لوحة القيادة)
# - honeyaegis-traefik (وكيل عكسي)
النقطة الأساسية
مستشعر honeypot مكشوف عمداً. عقدة العقل يجب ألا تكون كذلك أبداً. هذا الفصل هو أساس الهندسة بأكملها. إذا هرب المهاجمون من حاوية على Pi، لن يجدوا شيئاً ذا قيمة. بياناتك ولوحة قيادتك وتحليل AI تبقى آمنة في الشبكة الداخلية.
تكوين الشبكة
هنا يخطئ الناس. اقرأ بعناية.
⚠️ قواعد توجيه المنافذ
وجّه هذه المنافذ فقط لمستشعر Pi:
| الخدمة | المنفذ الخارجي | المنفذ الداخلي (Pi) | البروتوكول |
|---|---|---|---|
| SSH Honeypot | 22 | 2222 | TCP |
| Telnet Honeypot | 23 | 2223 | TCP |
| FTP Honeypot | 21 | 2121 | TCP |
| SMB Honeypot | 445 | 4450 | TCP |
لا توجّه هذه أبداً:
- المنفذ 3000 (لوحة القيادة)
- المنفذ 8000 (API)
- المنفذ 5432 (PostgreSQL)
- المنفذ 6379 (Redis)
- أي منفذ إلى Alienware
سجّل دخول في الراوتر وعدّ توجيه المنافذ إلى IP Pi الثابت (192.168.1.50 في مثالنا). خدمات honeypot تعمل على منافذ عالية داخلياً، لكن المهاجمين يرونها على منافذ قياسية خارجياً.
الوصول للوحة القيادة
من أي كمبيوتر في شبكتك الداخلية:
bash# افتح في المتصفح:
http://192.168.1.100:3000
# بيانات الاعتماد الافتراضية (غيّرها فوراً!):
# اسم المستخدم: admin
# كلمة المرور: (ما عيّنته في ADMIN_PASSWORD)ما ستراه:
- تدفق الهجمات لحظياً: بث مباشر للهجمات القادمة أثناء حدوثها
- خريطة GeoIP: تمثيل مرئي لمصدر الهجمات
- تسجيلات الجلسات: نصوص كاملة لجلسات SSH/Telnet، قابلة للتصدير كـ MP4/GIF
- ملخصات AI: شروحات لأنماط الهجوم مُولّدة بـ Ollama بلغة واضحة
- إحصائيات: تكرار الهجمات، بيانات الاعتماد الشائعة، الخدمات المستهدفة
- تكوين التنبيهات: أعدّ إشعارات Slack وDiscord والبريد عبر Apprise
استخدام HoneyAegis لاختبار الاختراق
هنا يصبح الأمر ممتعاً. honeypot هو هدف آمن لممارسة التقنيات الهجومية.
تمرين: هاجم honeypot الخاص بك
من Kali (استهداف IP Pi الداخلي):
- شغّل nmap ضد Pi لرؤية الخدمات المكشوفة
- جرّب SSH brute force مع Hydra
- جرّب SMB enumeration
- شاهد لوحة القيادة تضيء لحظياً
- اقرأ تحليل AI لهجومك
bash# امسح honeypot
nmap -sV -p 22,23,445,21 192.168.1.50
# SSH brute force (Cowrie يقبل كل شيء ويسجله)
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50:2222
# اتصل يدوياً واستكشف
ssh [email protected] -p 2222
# جرّب كلمات مرور شائعة - Cowrie يقبلها
# تحقق من لوحة القيادة - جلستك تظهر فوراً
# شاهد AI يشرح ما فعلتالتكامل مع The Hacker's Path:
- الجزء 3 (أساسيات Kali): استخدم honeypot كهدف استطلاع
- الجزء 4 (الاستغلال): تدرّب على Metasploit في بيئتك المتحكم بها
- الجزء 5 (التدقيق الكامل): ضمّن نشر honeypot كمكون دفاعي
ماذا عن Home Assistant على نفس Pi؟
الجواب القصير: لا تفعل ذلك.
⚠️ أبقِ honeypot معزولاً
مستشعر honeypot مكشوف عمداً للإنترنت. سيُهاجم، هذا الهدف بأكمله. تشغيل Home Assistant على نفس الجهاز يضع تحكم منزلك الذكي على بُعد هروب حاوية واحد من المهاجمين. إذا حدث خطأ، تريد نطاق الانفجار محدوداً بخدمات وهمية، ليس أقفالك الحقيقية ومنظم الحرارة. استخدم Pi منفصل لـ Home Assistant.
الخبر الجيد؟ تلك الـ ~1.5 GB من المساحة ليست مهدرة. HoneyAegis لديه مجال للنمو.
استخدامات أفضل لسعة Pi
بدلاً من حشر خدمات غير مرتبطة على جهاز مكشوف، استخدم تلك المساحة لقدرات honeypot أعمق:
ميزانية RAM لـ Pi 5 4GB (مستشعر مخصص)
| حِمل النظام | ~500 MB |
|---|---|
| Cowrie (SSH/Telnet) | ~300 MB |
| Dionaea (التقاط البرمجيات الخبيثة) | ~400 MB |
| OpenCanary (متعدد الخدمات) | ~200 MB |
| Vector (شحن السجلات) | ~100 MB |
| الإجمالي الأساسي | ~1.5 GB |
| متاح للتوسع | ~2.5 GB |
خارطة الطريق: قادم إلى HoneyAegis
نطوّر بنشاط وحدات مستشعر إضافية لـ مشروع HoneyAegis على GitHub. الإضافات المخططة تشمل:
- Conpot (~200 MB) — honeypot لأنظمة التحكم الصناعي. يحاكي PLC وأنظمة SCADA.
- Mailoney (~100 MB) — SMTP honeypot. يلتقط بوتات السبام وجامعي بيانات الاعتماد.
- Elasticpot (~150 MB) — Elasticsearch honeypot. يلتقط البوتات التي تمسح كتل مكشوفة.
- ADBHoney (~100 MB) — Android Debug Bridge honeypot. يكتشف المهاجمين المستهدفين للأجهزة المحمولة.
- Honey tokens — بيانات AWS وهمية ومفاتيح API تُطلق تنبيهات عند استخدامها.
الهندسة مبنية لهذا. HoneyAegis يستخدم هيكل Docker Compose معياري، كل honeypot جديد يُضاف كحاوية مع Vector الذي يرسل سجلاته للعقل. ضع نجمة للمستودع لمتابعة التطوير، أو ساهم بوحداتك الخاصة.
المبدأ: أبقِ مستشعر honeypot يفعل شيئاً واحداً جيداً: أن يكون هدفاً جذاباً ومعزولاً يغذي عقلك بالاستخبارات. شغّل Home Assistant على جهاز منفصل حيث ينتمي.
قراءة ذات صلة: عملية المنزل الذكي تغطي إعدادات Home Assistant المخصصة، وWiFi يمكنه رؤيتك تتحرك يشرح استشعار WiFi على أجهزة خاصة.
استكشاف الأخطاء والصيانة
bash# عرض السجلات (كلتا العقدتين)
docker compose logs -f
docker compose logs -f service-name
# إعادة تشغيل خدمة
docker compose restart cowrie
# فحص استخدام موارد الحاويات
docker stats
# نسخ احتياطي لقاعدة البيانات (على العقل)
docker exec honeyaegis-postgres pg_dump -U honeyaegis honeyaegis > backup.sql
# تحديث HoneyAegis
git pull
docker compose pull
docker compose up -d
# حذف بيانات الهجوم القديمة (انتبه!)
docker exec honeyaegis-postgres psql -U honeyaegis -c \
"DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '30 days';"مشاكل شائعة:
- تعارض المنافذ: خدمة أخرى تستخدم منافذ honeypot. تحقق بـ
netstat -tlnp - عدم تطابق تعريف NVIDIA: إصدار container toolkit يجب أن يطابق التعريف. أعد تثبيت toolkit بعد تحديثات التعريف.
- Vector لا يرسل السجلات: تحقق من
docker compose logs vector. عادة مشكلة شبكة/جدار حماية بين العقد. - Ollama بطيء: تحقق من وصول GPU بـ
docker exec honeyaegis-ollama nvidia-smi
ما التالي
الآن لديك شبكة honeypot إنتاجية تولّد استخبارات تهديد حقيقية. إليك كيف تطوّرها:
- اتركها تعمل لأسبوع. ستتفاجأ بسرعة ظهور الهجمات، عادة خلال ساعات.
- اضبط "لزوجة" honeypot. عدّ Cowrie ليحاكي نظام ملفات أكثر واقعية، مبقياً المهاجمين مشغولين لفترة أطول.
- أضف honey tokens. انشر بيانات اعتماد وهمية تُطلق تنبيهات فورية عند استخدامها.
- ادمج تغذيات التهديد. اتصل بـ MISP أو AbuseIPDB لسياق مُثرى عن المهاجمين.
- وسّع أسطول المستشعرات. انشر مستشعرات Pi إضافية في نقاط خروج شبكة مختلفة.
المنصات التجارية تتقاضى 5,000 دولار سنوياً لتريك ما يهاجم شبكتك. بنيت للتو نفس القدرة بثمن Pi وبعض الكهرباء. المهاجمون قادمون سواء راقبتهم أم لا. الآن أنت تراقب.
قائمة فحص النشر
☐ Pi 5: IP ثابت معيّن، Docker مثبت، حزمة المستشعر تعمل
☐ Alienware: NVIDIA toolkit مثبت، Docker يعمل، حزمة العقل منشورة
☐ Ollama: نموذج llama3.1:8b محمّل، تسريع GPU مُتحقق منه
☐ الشبكة: توجيه المنافذ مُعدّ (منافذ honeypot فقط!)
☐ عزل العقل: مُتحقق أن العقل ليس لديه تعرض للإنترنت
☐ لوحة القيادة: متاحة على IP الداخلي، كلمة مرور المدير مُغيّرة
☐ Vector: السجلات تتدفق من المستشعر للعقل
☐ أول هجوم: اختبار بمهاجمة honeypot الخاص بك
☐ تحليل AI: مُتحقق أن Ollama يولّد ملخصات التهديد
The Hacker's Path
هذا الدليل يصاحب سلسلة الأمان.
الجزء 1: مقدمة الجزء 2: إتقان Flipper دليل HoneyAegis ✓ الجزء 3: أساسيات Kali الجزء 4: الاستغلال
