Как расшифровать зашифрованные пакеты WPA2 с помощью Wireshark?

14

Я пытаюсь расшифровать данные WLAN с помощью Wireshark. Я уже прочитал и попробовал все на этой странице, но безуспешно (ну, я попробовал пример дампа на этой странице и добился успеха, но у меня не получается с моими собственными пакетами).

Я поймал четырехстороннее рукопожатие от другого клиента, подключенного к сети.

Информация о моей сети выглядит следующим образом:

  • WPA2-PSK Personal с шифрованием AES
  • SSID: тест
  • Ключевая фраза: mypass
  • Приведенная выше информация даст этот общий ключ: 58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

В Wireshark в Предпочтениях -> IEEE 802.11 я установил эту строку как Ключ 1:

wpa-psk:58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

Я пробовал разные варианты «Игнорировать бит защиты», но ни один из них не работает.

Что я мог пропустить?

РЕДАКТИРОВАТЬ
Это действительно странная вещь! Теперь я могу расшифровать пакеты, которые идут с / на мой другой ноутбук. Но пакеты, которые идут с / на мой iPad , НЕ расшифровываются. Почему нельзя расшифровать пакеты с моего iPad? Это в той же сети.

Rox
источник
1
Какой тип заголовка канального уровня вы использовали при захвате пакетов?
Spiff
Вы рискуете задать глупый вопрос, уверены ли вы, что сеть настроена на предварительный общий доступ? Согласно связанной странице "Расшифровка корпоративного режима WPA / WPA2 пока не поддерживается".
Уэйн Джонстон
@Spiff: Я предполагаю, что это Ethernet, потому что я могу захватывать пакеты, но они все расшифрованы. Я посмотрю позже в этот день и вернусь сюда с ответом.
Рокс
@WayneJohnston: это НЕ тупой вопрос. :-) Я использую WPA2 Personal с AES, поэтому он находится в режиме предварительного доступа.
Рокс
4
@Rox Вы уверены, что просматриваете необработанные HTTP-пакеты, а не вещи, отправленные по HTTPS? Кроме того, вы можете расшифровать пакеты, используя aircrack-ng? IIRC, вы должны иметь возможность использовать пакеты, полученные с Wireshark(в отличие от airmon-ngповторного использования ).
Прорыв

Ответы:

3

WPA использует одноразовый номер (случайное число, используемое только для этого сеанса) для обеспечения свежести (поэтому один и тот же ключ используется не каждый раз). В отличие от WEP, сообщения для разных хостов шифруются с использованием другого ключа. Ваш iPad использует совершенно другой ключ от вашего ноутбука для расшифровки / пакетирования пакетов (эти ключи генерируются из постоянного мастер-ключа и другой информации при каждом подключении к сети). Смотрите эту статью в Википедии для более подробной информации и в качестве отправной точки.

Drooling_Sheep
источник
1

Вы должны специально захватить рукопожатие EAPOL сеанса, который вы хотите расшифровать. Вы не можете захватить рукопожатие одного устройства, а затем расшифровать трафик другого устройства. Поэтому я предполагаю, что когда вы можете расшифровать трафик с вашего ноутбука, но не с iPad, Wireshark захватил только четырехстороннее рукопожатие ноутбука.

Пер Кнайт
источник