Da questa pagina wiki :
WPA e WPA2 utilizzano chiavi derivate da una stretta di mano EAPOL per crittografare il traffico. A meno che tutti e quattro i pacchetti di handshake non siano presenti per la sessione che stai tentando di decifrare, Wireshark non sarà in grado di decifrare il traffico. È possibile utilizzare il filtro di visualizzazione eapol per individuare i pacchetti EAPOL nell'acquisizione.
Ho notato che la decrittazione funziona anche con (1, 2, 4), ma non con (1, 2, 3). Per quanto ne so, i primi due pacchetti sono sufficienti, almeno per quanto riguarda il traffico unicast. Qualcuno può spiegare esattamente in che modo Wireshark gestisce questo, in altre parole perché funziona solo la sequenza precedente, dato che il quarto pacchetto è solo un riconoscimento? Inoltre, è garantito che (1, 2, 4) funzionerà sempre quando (1, 2, 3, 4) funziona?
Caso di prova
Questa è la stretta di mano gzip (1, 2, 4) e un ARP
pacchetto criptato (SSID :, SSID
password :) password
nella base64
codifica:
H4sICEarjU8AA2hhbmRzaGFrZS5jYXAAu3J400ImBhYGGPj / n4GhHkhfXNHr37KQgWEqAwQzMAgx 6HkAKbFWzgUMhxgZGDiYrjIwKGUqcW5g4Ldd3rcFQn5IXbWKGaiso4 + RmSH + H0MngwLUZMarj4Rn S8vInf5yfO7mgrMyr9g / Jpa9XVbRdaxH58v1fO3vDCQDkCNv7mFgWMsAwXBHMoEceQ3kSMZbDFDn ITk1gBnJkeX / GDkRjmyccfus4BKl75HC2cnW1eXrjExNf66uYz + VGLl + snrF7j2EnHQy3JjDKPb9 3fOd9zT0TmofYZC4K8YQ8IkR6JaAT0zIJMjxtWaMmCEMdvwNnI5PYEYJYSTHM5EegqhggYbFhgsJ 9gJXy42PMx9JzYKEcFkcG0MJULYE2ZEGrZwHIMnASwc1GSw4mmH1JCCNQYEF7C7tjasVT + 0 / J3LP gie59HFL + 5RDIdmZ8rGMEldN5s668eb / tp8vQ + 7OrT9jPj / B7425QIGJI3Pft72dLxav8BefvcGU 7 + kfABxJX + SjAgAA
Decodifica con:
$ base64 -d | gunzip > handshake.cap
Esegui tshark
per vedere se decodifica correttamente il ARP
pacchetto:
$ tshark -r handshake.cap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-pwd:password:SSID
Dovrebbe stampare:
1 0.000000 D-Link_a7: 8e: b4 -> HonHaiPr_22: 09: b0 Chiave EAPOL 2 0.006997 HonHaiPr_22: 09: b0 -> D-Link_a7: 8e: b4 Chiave EAPOL 3 0.038137 HonHaiPr_22: 09: b0 -> D-Link_a7: 8e: b4 Chiave EAPOL 4 0.376050 ZyxelCom_68: 3a: e4 -> HonHaiPr_22: 09: b0 ARP 192.168.1.1 è a 00: a0: c5: 68: 3a: e4