الأسبوع الثاني: تأمين طبقة الوصول للشبكة

دبلوم أمن المعلومات | مساق أمن الشبكات (SYBS-2304)

المتطلبات السابقة: شبكات 1، شبكات 2 (نظري وعملي) | المحاضر: أ. محمود الشيخ خليل

تأمين الشبكات المحلية واللاسلكية

الأسبوع الثاني | 3 ساعات

مخرجات التعلم

بنهاية هذا الأسبوع، سيكون الطالب قادراً على:

  • فهم مخاطر الشبكات اللاسلكية وأنواع الهجمات عليها
  • تمييز بروتوكولات الأمن اللاسلكي (WEP، WPA، WPA2، WPA3) ومقارنة مستويات الحماية التي توفرها
  • تطبيق إعدادات أمنية أساسية على نقاط الوصول (إخفاء SSID، تصفية عناوين MAC)
  • شرح آلية مصادقة 802.1X ودور خادم RADIUS في تأمين الوصول للشبكة
  • تطبيق تقنيات حماية الشبكات السلكية مثل Port Security و DHCP Snooping
  • إعداد شبكة لاسلكية آمنة باستخدام WPA2-Enterprise على Packet Tracer
  • فهم ثغرة MAC Spoofing وكيفية استغلالها في الشبكات العامة

محتوى الجلسة

الافتتاح والمراجعة

مراجعة سريعة لمفاهيم الأسبوع الأول (نموذج CIA، التهديدات الشائعة) وربطها بموضوع تأمين طبقة الوصول

مخاطر الشبكات اللاسلكية

مناقشة نقاط الضعف الفريدة في الشبكات اللاسلكية وأنواع الهجمات المستهدفة لها (التنصت، اختراق الكلمات السرية، هجمات حجب الخدمة)

بروتوكولات الأمن اللاسلكي

شرح تطور بروتوكولات الأمن من WEP إلى WPA3، مع التركيز على مميزات وعيوب كل بروتوكول

تكوين نقاط الوصول الآمنة

التعرف على الإعدادات الأمنية الأساسية لنقاط الوصول مثل إخفاء SSID، تصفية عناوين MAC، وتفعيل التشفير القوي

ثغرة MAC Spoofing والشبكات العامة

شرح كيفية استغلال ثغرة MAC Address في الشبكات العامة والوقاية منها

مصادقة 802.1X و RADIUS

شرح آلية مصادقة 802.1X ودور خادم RADIUS في توفير مصادقة مركزية للمستخدمين والأجهزة

النشاط العملي

إعداد شبكة لاسلكية آمنة باستخدام WPA2-Enterprise على Packet Tracer وتحليل ثغرة MAC Spoofing

الختام والواجبات

تلخيص المحتوى، حل النشاط العملي، وتوضيح الواجبات للأسابيع القادمة

المحتوى النظري

1. مخاطر الشبكات اللاسلكية وأنواع الهجمات

تعتبر الشبكات اللاسلكية بيئة خصبة للهجمات الأمنية بسبب طبيعة البث الإذاعي للإشارات. من أهم المخاطر:

  • التنصت (Eavesdropping): يمكن للمهاجمين التقاط الحزم اللاسلكية دون الحاجة للاتصال المادي بالشبكة.
  • اختراق الكلمات السرية (Password Cracking): هجمات القوة الغاشمة على كلمات مرور الشبكات الضعيفة.
  • هجمات حجب الخدمة (DoS): تشويش الإشارة اللاسلكية أو إغراق نقطة الوصول بطلبات اتصال.
  • نقاط الوصول المزيفة (Rogue Access Points): جهاز يقوم بإنشاء شبكة لاسلكية تحاكي الشبكة الشرعية لخداع المستخدمين.

حقائق مهمة:

  • يمكن اختراق شبكات WEP في دقائق باستخدام أدوات متاحة مثل Aircrack-ng.
  • شبكات WPA/WPA2 المعتمدة على كلمة مرور ضعيفة معرضة لهجمات القاموس (Dictionary Attacks).
  • أكثر من 70% من نقاط الوصول العامة لا تستخدم تشفيراً كافياً حسب بعض الدراسات.

2. بروتوكولات الأمن اللاسلكي: من WEP إلى WPA3

تطورت بروتوكولات أمن الشبكات اللاسلكية بشكل كبير لمواجهة التهديدات المتزايدة. الجدول التالي يلخص أهم البروتوكولات:

البروتوكول سنة الإصدار مزايا عيوب مستوى الأمان
WEP (Wired Equivalent Privacy) 1999 أول بروتوكول تشفير للشبكات اللاسلكية ثغرات أمنية خطيرة، يمكن اختراقه في دقائق غير آمن - يجب تجنبه
WPA (Wi-Fi Protected Access) 2003 حل مؤقت لثغرات WEP، استخدام TKIP للتحسين لا يزال يعتمد على RC4، عرضة لهجمات معينة ضعيف - غير موصى به
WPA2 (Wi-Fi Protected Access 2) 2004 اعتماد AES-CCMP، تشفير قوي، معيار لسنوات هجمات KRACK (2017) تستغل ثغرة في handshake جيد - مع تحديثات الأمان
WPA3 (Wi-Fi Protected Access 3) 2018 حماية أفضل ضد هجمات القاموس، تشفير أقوى، OWE للشبكات العامة انتشار محدود، يحتاج دعم من الأجهزة ممتاز - التوصية الحالية

ملاحظة: WPA3 هو البروتوكول الأكثر أماناً حالياً، لكن WPA2 مع كلمة مرور قوية وتحديثات أمنية لا يزال خياراً مقبولاً للكثيرين.

3. تكوين نقاط الوصول الآمنة

إلى جانب اختيار بروتوكول أمن قوي، يمكن تطبيق إعدادات إضافية لتعزيز أمن نقطة الوصول:

  • إخفاء SSID (Network Name): عدم بث اسم الشبكة يجعلها غير مرئية للمستخدمين العاديين، لكن المهاجمين يمكنهم كشفها عبر أدوات متخصصة.
  • تصفية عناوين MAC (MAC Address Filtering): السماح فقط للأجهزة المعروفة سابقاً بالاتصال. يمكن تجاوز هذه الحماية بتزوير عناوين MAC.
  • تفعيل تشفير قوي: استخدام AES بدلاً من TKIP في شبكات WPA2/WPA3.
  • تغيير كلمة المرور الافتراضية: كلمات المرور الافتراضية لنقطة الوصول معروفة وهي نقطة ضعف شائعة.

4. ثغرة تصفية عناوين MAC واستغلالها في الشبكات العامة

تعتبر تصفية عناوين MAC (MAC Address Filtering) إحدى آليات الحماية الشائعة في الشبكات العامة مثل:

  • شبكات المقاهي والمطاعم
  • شبكات الفنادق
  • الشبكات العامة في الشوارع والمتنزهات
  • شبكات الشركات التي تستخدم بوابة مصادقة (Captive Portal)

آلية الاستغلال: MAC Spoofing Attack

كيف تعمل آلية المصادقة في الشبكات العامة؟

في كثير من الشبكات العامة، يتم استخدام نظام مصادقة بسيط يعتمد على:

  1. عند أول اتصال للمستخدم، يتم توجيهه إلى بوابة مصادقة (Captive Portal)
  2. يقوم المستخدم بتسجيل الدخول (اسم مستخدم/كلمة مرور أو رمز وصول)
  3. يتم تسجيل عنوان MAC للجهاز في قاعدة البيانات كـ "جهاز مصرح له"
  4. في الاتصالات اللاحقة، تتحقق الشبكة من عنوان MAC وتسمح بالوصول مباشرة

نقطة الضعف:

يمكن للمهاجم استغلال هذه الآلية عن طريق:

  • التنصت (Sniffing): مراقبة حركة الشبكة لجمع عناوين MAC للأجهزة المتصلة
  • تزوير العنوان (MAC Spoofing): تغيير عنوان MAC لجهازه ليطابق عنوان جهاز مصرح له
  • الدخول غير المصرح: الوصول إلى الشبكة دون الحاجة للمصادقة

خطوات تنفيذ الهجوم (لأغراض تعليمية فقط):

# 1. اكتشاف عناوين MAC النشطة في الشبكة
sudo arp-scan --localnet

# 2. مراقبة حركة الشبكة لجمع معلومات الأجهزة
sudo tcpdump -i wlan0 -n -e

# 3. تغيير عنوان MAC المحلي
sudo ip link set ens33 down
sudo macchanger -m XX:XX:XX:XX:XX:XX ens33
sudo ip link set ens33 up

أنواع الشبكات المعرضة لهذا الهجوم:

نوع الشبكة نظام المصادقة مستوى الحماية ضد MAC Spoofing
شبكات المقاهي المجانية بوابة مصادقة لمرة واحدة ضعيف جداً
شبكات الفنادق رمز غرفة مع عنوان MAC ضعيف
شبكات الشركات WPA2-Enterprise + 802.1X قوي
شبكات المنازل WPA2-Personal + MAC Filtering ضعيف

آليات الحماية والوقاية

لحماية الشبكات من هجمات MAC Spoofing:

1. للشركات والمؤسسات:
  • استخدام 802.1X: مصادقة قائمة على المستخدم وليس على الجهاز
  • شهادات رقمية: لكل جهاز أو مستخدم شهادة فريدة
  • رصد السلوك: اكتشاف الأجهزة التي تغير عناوينها بشكل متكرر
2. لمقدمي خدمات الشبكات العامة:
  • مصادقة متعددة العوامل: لا تعتمد على MAC فقط
  • فترات صلاحية محدودة: إعادة المصادقة بعد فترة زمنية
  • تقييد الجلسات: منع اتصال نفس المستخدم من أجهزة متعددة في نفس الوقت
3. للأفراد:
  • تجنب الشبكات العامة: للأنشطة الحساسة
  • استخدام VPN: تشفير جميع الاتصالات
  • تفعيل جدار الحماية: على الجهاز الشخصي

5. مصادقة 802.1X و RADIUS

لمؤسسات كبيرة، يكون استخدام كلمة مرور واحدة (Pre-Shared Key) غير عملي ولا آمن. هنا يأتي دور مصادقة 802.1X:

  • 802.1X: بروتوكول مصادقة يتحكم في الوصول إلى الشبكة على مستوى المنفذ (Port-Based). يتطلب من الجهاز (المُعرِّف Supplicant) تقديم هويته للمصادق (Authenticator) الذي يتحقق منها عبر خادم RADIUS قبل منح الوصول.
  • RADIUS: بروتوكول يوفر مصادقة وترخيص ومحاسبة مركزية (AAA). يعمل كخادم مركزي للتحقق من هويات المستخدمين والأجهزة.
  • WPA2-Enterprise: هو الاسم الشائع للشبكات التي تستخدم WPA2 مع مصادقة 802.1X/RADIUS. يوفر أماناً أعلى حيث أن كل مستخدم لديه بيانات اعتماد فريدة.

6. حماية الشبكات السلكية (Port Security & DHCP Snooping)

لا تقتصر المخاطر على الشبكات اللاسلكية فحسب. من أهم آليات حماية الطبقة الثانية (Layer 2) في الشبكات السلكية:

  • Port Security: ميزة في مفاتيح الشبكة تسمح للمسؤول بتحديد عناوين MAC المسموح لها باستخدام منفذ معين. إذا حاول جهاز غير مصرح به الاتصال، يمكن للمفتاح إغلاق المنفذ أو إرسال تنبيه.
  • DHCP Snooping: ميزة أمان في المفاتيح تمنع هجمات خوادم DHCP المزيفة (Rogue DHCP Servers) عن طريق مراقبة حركة بروتوكول DHCP والسماح فقط للخوادم الموثوقة بتوزيع عناوين IP.
تحذير أخلاقي وقانوني:

هذه المعلومات للأغراض التعليمية والتوعوية فقط. تطبيق هذه التقنيات على شبكات حقيقية دون إذن صريح يعتبر اختراقاً غير قانوني وقد يعرضك للمساءلة القانونية.

تحليل أمني: لماذا تفشل تصفية عناوين MAC؟

بناءً على النشاطين العمليين (WPA2-Enterprise و MAC Spoofing)، يمكننا استنتاج:

آلية الحماية المميزات العيوب التوصية
WPA2-Personal + MAC Filtering سهل التطبيق، لا يحتاج بنية تحتية معقدة عرضة لـ MAC Spoofing، كلمة مرور واحدة للجميع غير موصى به للمؤسسات
بوابة مصادقة + MAC تسجيل مناسب للشبكات العامة، يتحكم في الوصول الأول عرضة لـ MAC Spoofing بعد المصادقة الأولى يحتاج آليات حماية إضافية
WPA2-Enterprise + 802.1X مصادقة فردية، إدارة مركزية، أمان عالي يتطلب بنية تحتية (RADIUS)، أكثر تعقيداً الخيار الأمثل للمؤسسات
WPA3 + OWE (Opportunistic Wireless Encryption) تشفير تلقائي حتى في الشبكات المفتوحة حديث، يحتاج أجهزة داعمة مستقبل الشبكات العامة

الخلاصة: تصفية عناوين MAC ليست آلية أمان كافية بمفردها، بل يجب أن تكون طبقة إضافية فقط في نظام أمني متكامل.

النشاط العملي: إعداد شبكة لاسلكية آمنة باستخدام WPA2-Enterprise على Packet Tracer

في هذا النشاط، ستقوم بتصميم وتكوين شبكة لاسلكية آمنة لمؤسسة صغيرة باستخدام برنامج Packet Tracer. الهدف هو تطبيق مفاهيم مصادقة 802.1X وخادم RADIUS.

سيناريو النشاط:

شركة "تكنو سولوشنز" تريد ترقية شبكتها اللاسلكية من نظام WPA2-Personal (كلمة مرور واحدة) إلى WPA2-Enterprise لتوفير أمان أفضل وإدارة مركزية للمستخدمين.

مكونات الشبكة المطلوبة في Packet Tracer:

  • جهاز توجيه (Router)
  • مفتاح شبكة (Switch)
  • نقطة وصول لاسلكية (Access Point) أو وحدة تحكم لاسلكية (WLC)
  • خادم RADIUS
  • أجهزة كمبيوتر محمولة (Clients)

مهام التكوين الرئيسية:

المهمة 1: إعداد خادم RADIUS وإنشاء حسابات مستخدمين (مثلاً: user1، user2).
المهمة 2: تكوين نقطة الوصول أو وحدة التحكم اللاسلكية لاستخدام مصادقة WPA2-Enterprise والاتصال بخادم RADIUS.
المهمة 3: تكوين أجهزة الكمبيوتر المحمولة للاتصال بالشبكة باستخدام بيانات اعتماد المستخدمين الفردية.
المهمة 4: اختبار الاتصال والتحقق من أن المستخدمين يمكنهم الوصول إلى الشبكة فقط بعد المصادقة الناجحة.

ملاحظات مهمة:

  • يمكن استخدام دليل "13.3.12 Packet Tracer – Configure a WPA2 Enterprise WLAN on the WLC" كمرجع للخطوات التفصيلية.
  • تأكد من تكوين الخادم RADIUS والمفتاح المشترك (Shared Secret) بشكل صحيح على نقطة الوصول.
  • استخدم شهادات رقمية إذا كان النشاط متقدماً، أو استخدم نموذج اسم المستخدم/كلمة المرور للتبسيط.

حل النشاط العملي (إرشادات عامة)

المهمة 1: إعداد خادم RADIUS

الإرشادات:

  1. أضيف خادم RADIUS إلى التصميم (يمكن استخدام جهاز Server في Packet Tracer).
  2. عين عنوان IP ثابت للخادم (مثل 192.168.1.10).
  3. من صفحة خدمات (Services) الخادم، افتح خدمة AAA وثبت RADIUS.
  4. أنشئ قائمة بالمستخدمين (Users) وأضف حسابات مثل user1/user1pass، user2/user2pass.
  5. سجل عنوان IP الخاص بخادم RADIUS والمفتاح المشترك (Shared Secret) الذي ستستخدمه (مثال: Cisco123).

المهمة 2: تكوين نقطة الوصول أو وحدة التحكم اللاسلكية

الإرشادات:

  1. افتح واجهة تكوين نقطة الوصول (أو وحدة التحكم WLC).
  2. انتقل إلى إعدادات الأمان (Security) وأضف خادم RADIUS باستخدام العنوان والمفتاح المشترك من المهمة 1.
  3. أنشئ شبكة لاسلكية جديدة (WLAN) وعين لها SSID (مثل "Company_Secure").
  4. في إعدادات الأمان للشبكة، اختر WPA2-Enterprise (قد يسمى أيضًا WPA2-802.1X).
  5. عين خادم راديوس الذي تم تكوينه كمصدر للمصادقة.

المهمة 3: تكوين أجهزة الكمبيوتر المحمولة (العملاء)

الإرشادات:

  1. على كل كمبيوتر محمول، انتقل إلى إعدادات الشبكة اللاسلكية.
  2. ابحث عن SSID "Company_Secure" وحاول الاتصال.
  3. عند المطالبة، أدخل بيانات اعتماد المستخدم (اسم المستخدم وكلمة المرور) المناسبة (مثلاً: user1/user1pass).
  4. تأكد من أن طريقة المصادقة المحددة هي WPA2-Enterprise أو 802.1X.

المهمة 4: اختبار الاتصال والتحقق

الإرشادات:

  1. بعد الاتصال الناجح، تأكد من حصول الكمبيوتر المحمول على عنوان IP صالح (عن طريق DHCP).
  2. جرب إرسال ping إلى عنوان IP لجهاز آخر في الشبكة (مثل خادم RADIUS) للتحقق من الاتصال.
  3. كرر التجربة باستخدام بيانات اعتماد خاطئة (مثلاً: user3/wrongpass) وتأكد من رفض الاتصال.
  4. افحص سجلات (Logs) خادم RADIوس للتحقق من أحداث المصادقة الناجحة والفاشلة.

ملاحظة: الخطوات التفصيلية قد تختلف قليلاً حسب إصدار Packet Tracer ونوع نقطة الوصول المستخدمة. المرجع العملي المذكور أعلاه يوفر خطوات مفصلة للوحة تحكم لاسلكية (WLC) من سيسكو.

الواجبات والمهام

الواجب العملي الأول: إعداد شبكة آمنة باستخدام Packet Tracer

المتطلبات:

قم باستخدام برنامج Packet Tracer (يسمح باستخدام برنامج Packet Tracer على الموبايل)

خطوات العمل:

  1. أنشئ شبكة لا سلكية باسمك الأول باللغة الإنجليزية
  2. قم بربط قطعة راوتر الوايرليس بسيرفر الريديس (RADIUS)
  3. قم بجعل اسم المستخدم هو رقمك الجامعي وكلمة المرور كلمة من عندك
  4. قم بتسجيل الدخول إلى الشبكة من جهاز عميل

آلية التسليم:

  • قم بتسليم صورة لاعدادات سيرفر الريدياس (RADIUS Server Settings)
  • صورة للإعدادات الاسلكية للراوتر (Wireless Router Settings)
  • صورة أثناء عمل اتصال ping من أي جهاز داخل الشبكة اللاسلكية على السيرفر الريديس

موعد التسليم: نهاية الأسبوع الثالث

الواجب النظري الثاني: تقرير عن بروتوكول ARP وهجماته

المطلوب:

أكتب تقرير صغير بحيث يحتوي على الإجابة عن النقاط التالية:

  1. ما هو بروتوكول ARP وهل يعتبر آمناً؟
    • شرح وظيفة بروتوكول ARP
    • تقييم مستوى أمانه والمخاطر المرتبطة به
  2. ما هو ARP Reply؟
    • شرح آلية عمل ARP Reply
    • دوره في عملية تحويل العناوين
  3. ما هو ARP Cache؟
    • شرح مفهوم ARP Cache
    • فوائد استخدام ARP Cache
    • مخاطر تسمم ARP Cache
  4. ما هو ARP Spoofing؟
    • تعريف هجوم ARP Spoofing
    • الهدف من هذا الهجوم
    • آلية تنفيذه بشكل عام
  5. كيف تحدث عملية Targeted ARP Spoofing بالتفصيل؟
    • شرح جميع الخطوات منذ دخول المهاجم إلى الشبكة
    • مراحل الهجوم بالترتيب
    • التأثير على الضحية والشبكة

متطلبات التقرير:

  • يجب ألا يقل التقرير عن صفحتين
  • استخدم لغة عربية سليمة ومصطلحات تقنية دقيقة
  • قم بتضمين أمثلة توضيحية إن أمكن
  • اذكر مراجعك إن استخدمت مصادر خارجية

موعد التسليم: نهاية الأسبوع الثالث

التطبيق العملي: مراجعة وتأمين راوتر منزلي

المطلوب:

إذا كان لديك إمكانية الوصول إلى راوتر منزلي، قم بمراجعة إعدادات الأمان اللاسلكي به وحاول تطبيق أفضل الممارسات التي تعلمتها.

خطوات العمل:

  1. الدخول إلى لوحة تحكم الراوتر:
    • ابحث عن عنوان IP الافتراضي للراوتر (عادة 192.168.1.1 أو 192.168.0.1)
    • ادخل اسم المستخدم وكلمة المرور الافتراضية (يمكن البحث عنها حسب نوع الراوتر)
  2. مراجعة إعدادات الأمان الحالية:
    • تسجيل نوع بروتوكول الأمان المستخدم (WEP، WPA، WPA2، WPA3)
    • تسجيل قوة كلمة المرور الحالية
    • التحقق من وجود إعدادات أمان إضافية مثل تصفية MAC أو إخفاء SSID
  3. تطبيق أفضل الممارسات:
    • تغيير كلمة المرور إلى كلمة أقوى (مزيج من أحرف كبيرة وصغيرة وأرقام ورموز)
    • تفعيل WPA2 أو WPA3 إذا كان متاحاً
    • تغيير اسم الشبكة (SSID) إذا كان يحتوي على معلومات شخصية
    • تغيير كلمة مرور لوحة تحكم الراوتر
  4. إعدادات أمنية إضافية (اختيارية):
    • تفعيل جدار الحماية المدمج (Firewall)
    • إعداد شبكة ضيوف (Guest Network) للزوار
    • تفعيل تحديثات البرامج التلقائية إذا كانت متاحة

ما يجب تسليمه:

اختر واحداً من الخيارات التالية:

  • الخيار الأول (للذين لديهم راوتر منزلي):
    • لقطة شاشة لإعدادات الأمان اللاسلكي قبل التعديل (مع إخفاء المعلومات الحساسة)
    • لقطة شاشة لإعدادات الأمان اللاسلكي بعد التعديل (مع إخفاء المعلومات الحساسة)
    • وصف موجز للتغييرات التي أجريتها ولماذا
  • الخيار الثاني (للذين لا يملكون راوتر منزلي):
    • بحث عن إعدادات الأمان في راوتر من نوع معين (مثل TP-Link، D-Link، Huawei)
    • تقرير يشرح خطوات تأمين الراوتر لذلك النوع
    • مقارنة بين إعدادات الأمان الافتراضية والإعدادات الموصى بها

موعد التسليم: نهاية الأسبوع الرابع

نقاط مهمة:

  • لا تقم بتغيير إعدادات الراوتر دون فهم تأثيرها على اتصال الأجهزة الأخرى
  • احفظ الإعدادات الجديدة في مكان آمن
  • إذا واجهتك مشكلة، يمكنك إعادة ضبط الراوتر إلى إعدادات المصنع
  • هذا التطبيق للأغراض التعليمية فقط، المسؤولية تقع على الطالب عند التطبيق الفعلي
العودة للأسبوع الأول الانتقال للأسبوع الثالث

المصطلحات الرئيسية للأسبوع الثاني

WEP (Wired Equivalent Privacy): أول بروتوكول تشفير للشبكات اللاسلكية، ثبت أنه غير آمن.

WPA (Wi-Fi Protected Access): بروتوكول أمني جاء كبديل مؤقت لـ WEP، لكنه لا يزال به نقاط ضعف.

WPA2 (Wi-Fi Protected Access 2): بروتوكول أمني قوي يعتمد على تشفير AES، كان المعيار السائد لسنوات.

WPA3 (Wi-Fi Protected Access 3): أحدث بروتوكول أمني يوفر حماية محسنة ضد هجمات كسر كلمات المرور.

802.1X: بروتوكول مصادقة يتحكم في الوصول إلى الشبكة على مستوى المنفذ، يستخدم غالباً مع خادم RADIUS.

RADIUS (Remote Authentication Dial-In User Service): بروتوكول يوفر مصادقة وترخيص ومحاسبة مركزية (AAA).

Port Security: ميزة في مفاتيح الشبكة تتحكم في عناوين MAC المسموح لها بالاتصال بمنفذ معين.

DHCP Snooping: ميزة أمان في المفاتيح تمنع هجمات خوادم DHCP المزيفة.

MAC Spoofing (تزوير عنوان MAC): تقنية لتغيير عنوان MAC لجهاز ليطابق عنوان جهاز آخر، تستخدم غالباً للدخول غير المصرح به إلى الشبكات.

Captive Portal (بوابة الأسر): صفحة ويب تظهر للمستخدم عند اتصاله بشبكة عامة، تطلب منه إكمال إجراءات المصادقة قبل السماح له بالوصول للإنترنت.

ARP Spoofing: هجوم شبكي يرسل فيه المهاجم رسائل ARP مزيفة لربط عنوان MAC الخاص به بعنوان IP لجهاز آخر على الشبكة.