Risposte:
WPA2 utilizza AES-CCMP. CCMP è l'acronimo di Counter-mode CBC-MAC Protocol. CBC-MAC indica i codici di autenticazione dei messaggi Cipher Block Chaining. Quei Message Authentication Codes (MAC) proteggono da falsi e replay.
Non sono sicuro, ma penso che anche se si ha la passphrase e il SSID WPA2 della rete, che consente di ricavare il PSK (Pre-Shared Key) che è il PMK (Pairwise Master Key), e anche se si cattura il Stretta di mano WPA2 quando un client si unisce in modo da ottenere gli aspetti che consentono di determinare il PTK (Pairwise Temporal Key) del client e il resto della gerarchia delle chiavi, penso che quei CBC-MAC renderebbero ancora difficile forgiare i frame come se fossero venuti da quel client (o falsificare i frame dall'AP a quel client, come se provenissero dall'AP).
Detto in un altro modo:
Conoscere la passphrase WPA2-PSK e l'SSID della rete, e quindi catturare l'handshake WPA2 del client di destinazione quando (ri) si unisce alla rete, è sufficiente per farvi decifrare il traffico in entrambe le direzioni tra quel client e l'AP. Ma penso che i CBC-MAC renderebbero ancora difficile forgiare o persino riprodurre i pacchetti tra questi due dispositivi. Ma potrei sbagliarmi su questo punto.
Sto cercando di rispondere se è teoricamente possibile o meno dato i protocolli di sicurezza. Una domanda a parte è se scapy contiene codice per farlo. Non ho molta familiarità con lo scapy, quindi non posso rispondere a questa parte per te. Ma se scapy ha il codice per forgiare CBC-MAC, probabilmente è una buona indicazione che è possibile su reti WPA2-PSK.
WPA2-Enterprise (con 802.1X) è un'altra storia, perché WPA2-Enterprise crea nuovi PMK ogni volta che un client (ri) si unisce, quindi anche se si cattura l'handshake WPA2 del client di destinazione, non si dispone delle informazioni necessarie per derivare la gerarchia delle chiavi e decrittografare il traffico del cliente.