Wireshark на WPA2-PSK [AES] не расшифровывает

Question

Wireshark на WPA2-PSK [AES] не расшифровывает

Я пытаюсь перехватить все пакеты в моей сети со всех устройств, подключенных к SSID .

Я запустил airmon-ng
Начался мониторинг на mon0
Изменены настройки в wireshark для включения дешифрования с помощью wpa-pwd:

После всего этого я запускаю перехват в моей сети WPA2-PSK [AES] и получаю все виды пакетов, но он не расшифровывает их, и все фильтры (даже для eapol или http) не показывают никаких пакетов.

Я пытался понять wireshark в течение очень долгого времени, и нет правильного объяснения вещей. Как я могу расшифровать трафик wpa2-psk?

Скриншот захвата здесь:

введите описание здесь

3

networking wireless-networking encryption wireshark

Источник

fineTuneFork 27 июн '13 в 08:16

1 ответ

Другие вопросы по тегам networking wireless-networking encryption wireshark

Spiff 27 июн '13 в 23:25 2013-06-27 23:25 · Answer 1 · 2013-06-27 23:25

Если вы этого еще не сделали, прочтите документ Wireshark " Как расшифровать документ 802.11" по этому вопросу и попробуйте расшифровать образец захвата.

Если вы даже не можете заставить Wireshark расшифровать кадры в файле примера, вы, вероятно, столкнетесь с ошибкой Wireshark.

Советы по просмотру, декодировали ли вы файл примера:

Вы не можете декодировать кадры 3, 26 или 47; так что, по сути, вы не увидите никаких изменений в первом скриншоте кадров, даже если вы успешно расшифровываете. Вам нужно прокрутить вниз до того, как вы увидите рукопожатие с ключами Auth, Assoc и EAPOL.
Первый кадр, который вы можете декодировать, - это 99 (Данные, 404 байта). Полностью расшифрован и расшифрован, это запрос DHCP.
Кадр 102 (Данные, 652 байта) является ACK DHCP.

Теперь о расшифровке ваших собственных снимков:

Обратите внимание, что для декодирования кадров WPA-PSK или WPA2-PSK из ваших собственных захватов необходимо захватить все четыре кадра рукопожатия с ключом EAPOL, которое происходит сразу после того, как клиент связывается с AP. AP и клиент принимают PSK и генерируют некоторые криптографические одноразовые номера, обмениваются одноразовыми номерами посредством квитирования EAPOL-ключа, а затем извлекают из него одноразовый сеансовый ключ (парный временный ключ или PTK). Если вы не фиксируете это рукопожатие, у Wireshark нет возможности узнать одноразовые номера, поэтому у него нет возможности выяснить, какой PTK клиент и точка доступа создали для этого сеанса, поэтому Wireshark не сможет расшифровать этот сеанс.

Вы уже упоминали, что не нашли кадры EAPOL в своем захвате. Посмотрите, есть ли у вас пары кадров Аутентификация и Ассоциированный кадр уровня 802.11. Могу поспорить, что вы их тоже не получили. Рукопожатие с ключом EAPOL происходит сразу после обмена кадров.

Обновление: также убедитесь, что вы снимаете в случайном режиме. Режим мониторинга 802.11 покажет вам заголовки 802.11 и специфичные для 802.11 кадры, но он все равно может не отображать одноадресные передачи между другими устройствами, если вы также не включите случайный режим.