Come decrittografare i pacchetti crittografati WPA2 utilizzando Wireshark?


14

Sto cercando di decrittografare i miei dati WLAN con Wireshark. Ho già letto e provato tutto su questa pagina ma senza successo (beh, ho provato il dump di esempio su quella pagina e ci sono riuscito, ma non riesco con i miei pacchetti).

Ho preso la stretta di mano a quattro vie da un altro client che si connetteva alla rete.

Le informazioni sulla mia rete sono le seguenti:

  • WPA2-PSK Personal con crittografia AES
  • SSID: test
  • Passphrase: mypass
  • Le informazioni di cui sopra darebbero questa chiave già condivisa: 58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

In Wireshark nelle Preferenze -> IEEE 802.11 ho impostato questa riga come Chiave 1:

wpa-psk:58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

Ho provato le diverse opzioni di "Ignora il bit di protezione" ma nessuna funziona.

Cosa avrei potuto perdere?

EDIT
Questa è davvero una cosa strana! Ora posso decrittografare i pacchetti che vanno da / verso l'altro mio laptop. Ma i pacchetti che vanno dal / al mio iPad NON vengono decifrati. Perché non è possibile decrittografare i pacchetti dal mio iPad? È sulla stessa rete.


1
Quale tipo di intestazione a livello di collegamento hai utilizzato durante l'acquisizione dei pacchetti?
Spiff

A rischio di porre una domanda stupida, sei sicuro che la rete sia configurata per la modalità pre-condivisa? Secondo la pagina collegata "La decodifica in modalità aziendale WPA / WPA2 non è ancora supportata".
Wayne Johnston,

@Spiff: suppongo che sia Ethernet perché posso catturare i pacchetti, ma sono tutti decifrati. Daremo un'occhiata più tardi questo giorno e tornerò qui con la risposta.
Rox,

@WayneJohnston: NON è una domanda stupida. :-) Sto usando WPA2 Personal con AES, quindi è in modalità pre-condivisa.
Rox,

4
@Rox sei sicuro di visualizzare pacchetti HTTP non elaborati e non contenuti inviati tramite HTTPS? Inoltre, puoi decrittografare i pacchetti usando aircrack-ng? IIRC, dovresti essere in grado di usare i pacchetti ottenuti con Wireshark(anziché airmon-ngriutilizzarli).
Breakthrough

Risposte:


3

WPA utilizza un nonce (numero casuale utilizzato solo per questa sessione) per fornire aggiornamento (quindi la stessa chiave non viene utilizzata ogni volta). A differenza di WEP, i messaggi per host diversi vengono crittografati utilizzando una chiave diversa. Il tuo iPad utilizza una chiave completamente diversa dal tuo laptop per en / decrittografare i pacchetti (queste chiavi vengono generate dalla chiave principale permanente e altre informazioni ogni volta che ti connetti alla rete). Vedi questo articolo di Wikipedia per ulteriori dettagli e come punto di partenza.


1

È necessario acquisire in modo specifico l'handshake EAPOL della sessione che si desidera decrittografare. Non è possibile acquisire l'handshake di un dispositivo e quindi decrittografare il traffico di un altro dispositivo. Quindi la mia ipotesi è che quando puoi decifrare il traffico dal tuo laptop ma non dall'iPad, Wireshark ha catturato solo la stretta di mano a quattro vie del laptop.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.