Как расшифровать зашифрованные пакеты WPA2 с помощью Wireshark?

27923
Rox

Я пытаюсь расшифровать данные WLAN с помощью Wireshark. Я уже прочитал и попробовал все на этой странице, но безуспешно (ну, я попробовал пример дампа на этой странице и добился успеха, но у меня не получается с моими собственными пакетами).

Я поймал четырехстороннее рукопожатие от другого клиента, подключенного к сети.

Информация о моей сети выглядит следующим образом:

  • WPA2-PSK Personal с шифрованием AES
  • SSID: тест
  • Ключевая фраза: mypass
  • Приведенная выше информация даст этот общий ключ: 58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

В Wireshark в Предпочтениях -> IEEE 802.11 я установил эту строку как Ключ 1:

wpa-psk:58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

Я пробовал разные варианты «Игнорировать бит защиты», но ни один из них не работает.

Что я мог пропустить?

РЕДАКТИРОВАТЬ
Это действительно странная вещь! Теперь я могу расшифровать пакеты, которые отправляются с / на мой другой ноутбук. Но пакеты, которые идут с / на мой iPad, НЕ расшифровываются. Почему нельзя расшифровать пакеты с моего iPad? Это в той же сети.

14
Какой тип заголовка канального уровня вы использовали при захвате пакетов? Spiff 12 лет назад 1
Вы рискуете задать глупый вопрос, уверены ли вы, что сеть настроена на предварительный общий доступ? Согласно связанной странице "Расшифровка корпоративного режима WPA / WPA2 пока не поддерживается". Wayne Johnston 12 лет назад 0
@Spiff: Я предполагаю, что это Ethernet, потому что я могу захватывать пакеты, но все они расшифрованы. Я посмотрю позже в этот день и вернусь сюда с ответом. Rox 12 лет назад 0
@WayneJohnston: это НЕ тупой вопрос. :-) Я использую WPA2 Personal с AES, поэтому он находится в режиме предварительного доступа. Rox 12 лет назад 0
@Spiff: Я имел в виду, что все пакеты зашифрованы, а не расшифрованы. Rox 12 лет назад 0
@Spiff: заголовок канального уровня - 802.11 плюс заголовок радиоленты. Посмотрите на мои изменения в моем первом посте. Я не могу расшифровать пакеты с моего iPad. Но я действительно могу расшифровать пакеты с моего другого ноутбука. Почему это так? Rox 12 лет назад 0
Вы захватили все 4 пакета рукопожатия iPad с 4 путями? Вы должны видеть четырехстороннее рукопожатие для каждого клиента, трафик которого вы хотите расшифровать. Spiff 12 лет назад 0
Кроме того, какая версия Wireshark? На какой ОС (включая версию) вы работаете? Spiff 12 лет назад 0
@Spiff: Да. Я перехватил все 4 пакета eapol из четырехстороннего рукопожатия моего iPad. Я бегу Backtrack 5 R2 с Wireshark 1.6.5. Rox 12 лет назад 0
@Rox Вы уверены, что просматриваете необработанные HTTP-пакеты, а не вещи, отправленные по HTTPS? Кроме того, вы можете расшифровать пакеты с помощью `aircrack-ng`? IIRC, вы должны иметь возможность использовать пакеты, полученные с помощью Wireshark (в отличие от повторного использования airmon-ng). Breakthrough 11 лет назад 4

2 ответа на вопрос

3
Drooling_Sheep

WPA использует одноразовый номер (случайное число, используемое только для этого сеанса) для обеспечения свежести (поэтому один и тот же ключ используется не каждый раз). В отличие от WEP, сообщения для разных хостов шифруются с использованием другого ключа. Ваш iPad использует совершенно другой ключ от вашего ноутбука, чтобы расшифровать / расшифровать пакеты (эти ключи генерируются из постоянного мастер-ключа и другой информации каждый раз, когда вы подключаетесь к сети). Смотрите эту статью в Википедии для получения дополнительной информации и в качестве отправной точки.

1
Per Knytt

Вы должны специально захватить рукопожатие EAPOL сеанса, который вы хотите расшифровать. Вы не можете захватить рукопожатие одного устройства, а затем расшифровать трафик другого устройства. Поэтому я предполагаю, что когда вы можете расшифровать трафик с вашего ноутбука, но не с iPad, Wireshark захватил только четырехстороннее рукопожатие ноутбука.

Похожие вопросы