Постоянное дешифрование трафика IEEE802.11 WPA2 с помощью ключа PSK для анализа дрейфовой сети

Итак, я понимаю, что мой титул очень расплывчатый. Позвольте мне уточнить. Это моя ситуация:

Я нахожусь в среде тестирования, поэтому я знаю все переменные (сетевой пароль WPA2 / ключ PSK). Я выполнял захват беспроводной сети с помощью Wireshark в зашифрованной сети WPA2, когда мой адаптер находился в режиме мониторинга, поэтому драйвер беспроводной сети не расшифровывал автоматически какие-либо данные, которые он передавал в Wireshark, таким образом, все, что я видел, было пакетами, помеченными "802.11". протокол. Я разослал несколько пакетов отмены аутентификации для захвата временных ключей сеанса WPA2-PSK всех соседних устройств. Затем я перешел в Wireshark Edit>Preferences>Protocols>IEEE 802.11 и включил дешифрование ключа, введя в свои сети WPA-PSK и после манипуляций с некоторыми надоедливыми настройками FCS и защитного бита, смог успешно расшифровать данные в режиме реального времени. Поэтому я запустил свой телефон и зашел на сайт без SSL, на котором были данные изображения, и увидел, что данные проходят через wireshark. Таким образом, я смог успешно захватить эти данные. Я сохранил его в файле pcap, чтобы его могли легко прочитать внешние программы (я имел в виду driftnet).

Тем не менее, когда я пошел в driftnet, он не увидел ни одного изображения, которое я ожидал. Странный. Поэтому я вернулся к wireshark и открыл pcap, возился с настройками, а затем понял, что он сохранил необработанную версию, а не версию с расшифрованными данными WPA2. Ну волов.

В моей текущей ситуации, есть ли какой-либо программный пакет, который я могу использовать для расшифровки файла pcap (НЕ только для сеанса просмотра Wireshark, но на самом деле изменить пакеты в файле)? Wireshark предлагает это местно?

TL; DR: я знаю PSK сети WPA2, и через него отправляются pcap некоторых изображений. Могу ли я запустить файл pcap через расшифровщик, чтобы я мог видеть изображения в driftnet?

1 ответ

Решение

Насколько мне известно, Wireshark не может экспортировать дешифрованные пакеты. Тем не менее, вы должны иметь возможность экспортировать хотя бы некоторые изображения непосредственно из Wireshark, используя функцию "Файл -> Экспорт -> Объекты" в Wireshark, при условии, что эти изображения транспортируются по одному из немногих протоколов, которые поддерживает Wireshark (Wireshark 1.12.13 поддерживает только HTTP, DICOM и SMB/SMB2, но более новые версии могут поддерживать дополнительные протоколы.)

Обратитесь к разделу 5.7.8 Руководства пользователя Wireshark для получения дополнительной информации об экспорте объектов.

Для этого могут быть другие инструменты, более подходящие, чем Wireshark или driftnet. Взгляните на список инструментов на вики-странице Wireshark Tools, чтобы найти несколько возможностей.

Другие вопросы по тегам