Постоянное дешифрование трафика IEEE802.11 WPA2 с помощью ключа PSK для анализа дрейфовой сети

1060
TheFuzzyFish

Итак, я понимаю, что мой титул очень расплывчатый. Позвольте мне уточнить. Это моя ситуация:

Я нахожусь в среде тестирования, поэтому я знаю все переменные (сетевой пароль WPA2 / ключ PSK). Я выполнял захват беспроводной сети с помощью Wireshark в зашифрованной сети WPA2, когда мой адаптер находился в режиме мониторинга, поэтому драйвер беспроводной сети не расшифровывал автоматически какие-либо данные, которые он передавал в Wireshark, поэтому все, что я видел, было пакетами, помеченными «802.11». протокол. Я разослал несколько пакетов де-аутентификации для захвата временных ключей сеанса WPA2-PSK всех соседних устройств. Затем я зашел в Wireshark Edit> Preferences> Protocols> IEEE 802.11 и включил дешифрование ключа, введя в свои сети WPA-PSK и после некоторых неприятных настроек FCS и битов защиты смог успешно расшифровать данные в режиме реального времени. Поэтому я запустил свой телефон и зашел на сайт без SSL, на котором были данные изображения, и увидел, как данные проходят через wireshark. Таким образом, я смог успешно захватить эти данные. Я сохранил его в файл pcap, чтобы его могли легко прочитать внешние программы (я имел в виду driftnet).

Тем не менее, когда я пошел в driftnet, он не увидел ни одного изображения, которое я ожидал. Странный. Поэтому я вернулся к wireshark и открыл pcap, возился с настройками, а затем понял, что он сохранил сырую версию, а не версию с расшифрованными данными WPA2. Ну волов.

В моей текущей ситуации, есть ли какой-либо программный пакет, который я могу использовать для расшифровки файла pcap (НЕ только для сеанса просмотра Wireshark, но на самом деле изменить пакеты в файле)? Wireshark предлагает это местно?

TL; DR: я знаю PSK сети WPA2, и мне нужно отправить через него несколько изображений. Могу ли я запустить файл pcap через расшифровщик, чтобы я мог видеть изображения в driftnet?

0

1 ответ на вопрос

1
Christopher Maynard

Насколько мне известно, Wireshark не может экспортировать дешифрованные пакеты. Тем не менее, вы должны иметь возможность экспортировать хотя бы некоторые изображения непосредственно из Wireshark, используя функцию «Файл -> Экспорт -> Объекты» в Wireshark, при условии, что эти изображения переносятся по одному из немногих протоколов, которые поддерживает Wireshark (Wireshark 1.12. 13 поддерживает только HTTP, DICOM и SMB / SMB2, но более новые версии могут поддерживать дополнительные протоколы.)

Обратитесь к разделу 5.7.8 Руководства пользователя Wireshark для получения дополнительной информации об экспорте объектов.

Для этого могут быть лучше другие инструменты, чем Wireshark или driftnet. Взгляните на список инструментов на вики-странице Wireshark Tools, чтобы найти несколько возможностей.

Похожие вопросы