Impossibile decifrare il file di acquisizione

1

Sto giocando con airodump-ng e WireShark (non sono uno specialista di reti). Ho catturato alcuni pacchetti dalla mia rete con airodump-ng e volevo aprirli in WireShark, ma sembrano essere incomprensibili (invece di richieste e cose HTTP).

screenshot di WireShark

Questo era il mio ordine delle operazioni:

  1. Esegui airodump-ng --bbsid <myRouterMac> -c 1 -w <filename> <interface> --output-format pcap, invia alcune richieste nel browser (http, non https) e Ctrl-C.
  2. Apri Wireshark e apri il file.
  3. Aggiungi la chiave generata da WPA-PSK dal generatore di siti Web Wireshark.
  4. Sperimenta con le opzioni opzioni di wirehark

Mi aspettavo che funzionasse, ma non funziona. Quale può essere la causa? Cosa devo fare per farlo funzionare?

networking  wireless-networking  wireshark 
Sono Wojciechowski
fonte
In futuro, questo potrebbe essere più adatto per il sito di scambio di stack di sicurezza di formazione.
Daisetsu,
Cosa succede se si imposta "Ignora il bit di protezione" su "No"?

Risposte:

0

Ogni volta che un'acquisizione del traffico Wi-Fi assomiglia a un insieme di diversi traffico casuale 802.2 / LLC con molti diversi DSAP e SSAP casuali, significa che l'analizzatore di pacchetti (Wireshark) sta cercando di interpretare i frame crittografati come se fossero frame in testo normale (ad esempio, come se non fossero mai stati crittografati o già decifrati).

Nel tuo caso, il motivo più probabile è che non hai acquisito l'handshake WPA / WPA2 a 4 vie (i frame chiave EAPOL) quando i client in questione si sono uniti alla rete questa volta.

Motivi meno probabili potrebbero essere che non hai inserito correttamente la passphrase o SSID WPA / WPA2 nel generatore di chiavi, oppure non hai copiato correttamente l'output del generatore di chiavi e inserito correttamente nel campo appropriato nell'interfaccia utente di Wireshark.

WPA- e WPA2-PSK generano chiavi per client, per sessione, in base a una combinazione di PSK (che deriva dalla passphrase e SSID tramite PBKDF2 come sai) in combinazione con le nonci e altre informazioni scambiate durante il 4 stretta di mano a chiave all'inizio della connessione. Pertanto, se non acquisisci l'handshake a 4 vie per una determinata connessione, non puoi decodificare il traffico proveniente da quella connessione.

spiff
fonte
Ho un file cap con handshake a 4 vie e la passphrase WPA è corretta e non è stata ancora decifrata correttamente. Lo catturerò ancora una volta e vedrò se funziona.
Sono Wojciechowski il
@AreWojciechowski Come doppio controllo, vedi se riesci a decodificare correttamente il file di esempio su wiki.wireshark.org/HowToDecrypt802.11
Spiff
0

Airodump-ng cattura frame RAW 802.11. Stai vedendo il protocollo 802.11 qui.

Questo è spiegato in modo più dettagliato qui

http://www.aircrack-ng.org/doku.php?id=airodump-ng

Potresti voler pubblicare questo post su https://security.stackexchange.com in futuro.

Daisetsu
fonte
Quindi cosa devo fare per convertire i frame 802.11 grezzi in protocollo 802.11?
Sono Wojciechowski il
Cosa intendevi con il passaggio 3. Per favore, approfondiscilo.
Daisetsu,
Wireshark deve decrittografare i frame crittografati WPA, quindi ho bisogno di aggiungere la chiave wpa-psk alle preferenze di Wireshark generate usando questo: wirehark.org/tools/wpa-psk.html .
Sono Wojciechowski il
Se si desidera visualizzare il traffico https: // basta usare il filtro di visualizzazione "http". Funziona, stai vedendo anche tutto il sovraccarico del protocollo 802.11.
Daisetsu,
Non c'è niente quando uso il filtro http. Penso che WireShark non sta vedendo tutto.
Sono Wojciechowski il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.