Есть ли способ зарегистрировать неправильные попытки пароля в сетях Wi-Fi

Нет, невозможно зарегистрировать действительный пароль из попытки входа в систему из-за четырехстороннего рукопожатия, которое гарантирует, что пароль никогда не будет отправлен по беспроводной связи. Вот объяснение четырехстороннего рукопожатия из Википедии, которое объясняет эту концепцию:

Четырехстороннее рукопожатие разработано так, что точка доступа (или аутентификатор) и беспроводной клиент (или соискатель) могут независимо друг от друга доказать, что они знают PSK/PMK, даже не раскрывая ключ. Вместо того, чтобы раскрывать ключ, точка доступа и клиент каждый шифруют сообщения друг другу - которые могут быть расшифрованы только с использованием PMK, который они уже совместно используют - и если дешифрование сообщений было успешным, это доказывает знание PMK. Четырехстороннее рукопожатие имеет решающее значение для защиты PMK от вредоносных точек доступа - например, SSID злоумышленника, имитирующего реальную точку доступа, - так что клиент никогда не должен сообщать точке доступа свой PMK.

Хорошо, я вижу, что кто-то направил вас на Wireshark, что является хорошей отправной точкой, и я не читал статью, поэтому не знаю, насколько она глубока (И я понимаю, что этой статье 7 лет), но я хотел бы поделиться некоторыми вещами, чтобы помочь кому-нибудь в будущем с этим. Лишь некоторые основные, ключевые моменты, которые могут сэкономить время и/или энергию и могут помочь.

1. Журнал маршрутизатора: большинство маршрутизаторов имеют систему журналирования, хотя не все попытки подключения регистрируются, и даже если они есть, иногда к этим журналам трудно получить доступ.
2. Режим монитора: чип Wi-Fi может работать в разных режимах. Например, точка доступа на телефоне меняет режим с «Клиент» на «Точка доступа», чтобы обеспечить входящие соединения. Есть несколько других режимов, но для большей ясности один из них называется режимом монитора. Основное отличие заключается в том, что в режиме клиента чип Wi-Fi слышит, но игнорирует любой трафик, не направленный на него. В режиме монитора он получает и обрабатывает все это (хотя он не будет делать ничего другого, если вы не используете Wireshark или что-то в этом роде)
3. Wireshark: Wireshark регистрирует «пакеты» разных типов или протоколов. Технически, с помощью некоторого дешевого оборудования вы можете регистрировать сотовые пакеты GSM с помощью Wireshark. Чтобы регистрировать с его помощью пакеты 802.11 (Wi-Fi), вы должны находиться в режиме монитора/неразборчивого режима (я забыл разницу между ними, но для всех целей и намерений этого объяснения они используются как синонимы). Если вы не переведете чип Wi-Fi в режим монитора, произойдет одно из двух. Либо вы будете видеть только пакеты Wi-Fi, входящие и исходящие от вашего устройства, либо вы увидите активность TCPIP только для незашифрованного трафика (т. е. точки доступа Wi-Fi, у которой нет пароля).
4. Windows с режимом монитора: последние 10 лет или около того я пытался заставить Windows перевести чип Wi-Fi в режим монитора, и я нашел только одну программу, которая могла бы сделать это. Я забыл название этой программы, и изначально ее было нелегко найти, но если вы используете Windows, вы не можете использовать Wireshark для этой цели. Другая программа - ЕДИНСТВЕННЫЙ способ (насколько я знаю) перевести чип Wi-Fi в режим монитора в Windows. (Возможно, это называли солнечными ветрами)
5. Linux: С другой стороны, Linux довольно хорошо работает в режиме монитора. Кроме того, вы можете использовать несколько разных программ, и, если вас интересуют такого рода вещи, существует специальный дистрибутив Linux, предназначенный для «пентестинга» или тестирования на проникновение (тестирования безопасности сетей), как для 802.11, так и для стандарта 802.11. и TCP/IP (а также Bluetooth и многие другие). Он называется «Кали Линукс». С Kali вы можете использовать «airmon-ng» (часть пакета aircrack-ng), чтобы перевести вашу карту в режим мониторинга, а затем либо Wireshark, либо Airodump-ng, либо Kismet для просмотра трафика.
6. 4-стороннее рукопожатие: Это для шифрования WPx (есть еще WEP, но этот механизм шифрования был сломан изначально, и теперь с Kali Linux и ноутбуком (или даже с часами от Wish) я могу проникнуть в большинство WEP сетей в течение 5 минут (пока я нахожусь достаточно близко). По сути, с шифрованием WPx существует 4-стороннее рукопожатие, которое, не вдаваясь в технические детали, создает хэш пароля и выполняется только тогда, когда устройство подключается к сети, затем хэш используется в шифровании (я думаю), так что устройство в режиме мониторинга не может просто украсть хэш и замаскироваться под устройство, с которого оно украло хеш. Я точно забыл, как работает WEP, но есть несколько хаков, чтобы получить пароль (хотя были случаи, когда я взламывал точку доступа Wi-Fi, конечно, с разрешения, и пароль, который я получил от нее, на самом деле не был установленным паролем, но работал для подключения).

5. MAC-адрес: поэтому, когда вы просматриваете трафик 802.11x на Wireshark, ничто не будет иметь IP-адреса, поскольку они не назначаются до тех пор, пока устройство не подключится успешно. Для идентификации устройств во время этого процесса используется уникальный идентификатор, называемый «MAC-адрес». На некоторых устройствах MAC-адрес можно изменить (я думаю, что новые iPhone по умолчанию делают это случайным образом), и, следовательно, это не лучший способ идентификации устройств на 100% (хотя, насколько мне известно, не существует другого уникального номера, который можно было бы изменить). используется), поэтому, даже несмотря на то, что точность (я предполагаю, что около 10% устройств рандомизируют свои MAC-адреса) не 100%, вы получаете то, что получаете. По этому идентификатору вы сможете идентифицировать устройства, использующие неправильный пароль (я думаю, что обмен паролями будет указан в Wireshark как EOPOL или что-то в этом роде). Еще одно замечание по поводу MAC-адресов:

00:00:00:11:11:11

Это пример MAC-адреса. В MAC-адресах используется 16-битная (шестнадцатеричная) нумерация (0–f), а первые три набора цифр (0 в моем примере) представляют собой идентификационный код производителя. Вы можете выполнить поиск «ПОИСК MAC-АДРЕСА» в поисковой системе, чтобы ввести MAC и найти производителя, НО, по моему опыту, только около 50% устройств (может быть, немного больше) имеют MAC, который разрешается до производителя, И, указанный производитель не будет производителем устройства, а будет производителем чипа Wi-Fi (таким образом, у вас может быть, например, телевизор Roku, обозначенный как «Samsung»).

В любом случае, я просто хотел присоединиться к исследованиям, которые я нашел за эти годы, и поделиться ими со всеми, кто склоняется к такого рода вещам, и я надеюсь, что сэкономил вам немного времени на исследования.

Примечание: технически с помощью атаки «Человек посередине» (MITM) вы можете зарегистрировать неверные пароли, потому что у вас будет недостающая часть четырехстороннего рукопожатия.

Возможно, IPS или IDS смогут это сделать. В Пало-Альто для этого может быть предусмотрено устройство перехвата пакетов. Но неудачные попытки входа в систему обычно регистрируются только на устройстве, на котором происходит аутентификация, поэтому вам необходимо собирать эти журналы (например, сервер приложений или система идентификации).