Wireshark trên WPA2-PSK [AES] không giải mã

3

Tôi đang cố gắng nắm bắt tất cả các gói trên mạng của mình từ tất cả các thiết bị được kết nối với SSID.

  • Tôi bắt đầu lên airmon-ng
  • Bắt đầu theo dõi trên mon0
  • Thay đổi tùy chọn trong wireshark thành 'kích hoạt giải mã' với wpa-pwd:

Sau tất cả, tôi bắt đầu chụp trên mạng WPA2-PSK [AES] của mình và tôi nhận được tất cả các loại gói nhưng nó không giải mã được và tất cả các bộ lọc (ngay cả đối với eapol hoặc http) không hiển thị bất kỳ gói nào.

Tôi đã cố gắng để hiểu wireshark trong một thời gian rất dài và không có lời giải thích phù hợp về mọi thứ. Làm cách nào để giải mã lưu lượng wpa2-psk?

Một ảnh chụp màn hình chụp ở đây:

enter image description here

networking  wireless-networking  encryption  wireshark 
fineTuneFork
nguồn
1
Bạn có chắc chắn Wireshark hỗ trợ giải mã kết nối WPA2-PSK-AES? Xác minh phiên bản của Wireshark mà bạn sử dụng hỗ trợ thực hiện những gì bạn yêu cầu: wiki.wireshark.org/HowToDecrypt802.11 . Có vẻ như bạn đã bật cả PSK và AES, điều mà nhiều khả năng KHÔNG được Wireshark hỗ trợ.
Ramhound

Câu trả lời:

4

Nếu bạn chưa có, hãy đọc Wireshark's Cách giải mã 802.11 tài liệu về điều này thử giải mã việc chụp mẫu.

Nếu bạn thậm chí không thể yêu cầu Wireshark giải mã các khung trong tệp ví dụ, thì có lẽ bạn đang gặp phải lỗi Wireshark.

Gợi ý xem bạn đã giải mã được tệp mẫu chưa:

  • Bạn không thể giải mã các khung 3, 26 hoặc 47; về cơ bản, bạn sẽ không thấy bất cứ điều gì thay đổi trong màn hình đầu tiên ngay cả khi bạn giải mã thành công mọi thứ. Bạn cần cuộn xuống sau khi bạn thấy bắt tay khóa Auth, PGS và EAPOL.
  • Khung đầu tiên bạn có thể giải mã là 99 (Dữ liệu, 404 byte). Được giải mã và giải mã hoàn toàn, đó là Yêu cầu DHCP.
  • Khung 102 (Dữ liệu, 652 byte) là DHCP ACK.

Bây giờ, về việc giải mã các ảnh chụp của riêng bạn:

Lưu ý rằng để giải mã các khung WPA-PSK hoặc WPA2-PSK từ các ảnh chụp của riêng bạn, bạn phải chụp tất cả bốn khung của bắt tay khóa EAPOL , xảy ra ngay sau khi khách hàng liên kết với AP. AP và khách hàng lấy PSK và tạo ra một số phi mã hóa, trao đổi các phi số thông qua bắt tay khóa EAPOL và sau đó lấy khóa phiên một lần từ đó (Khóa tạm thời Pairwise hoặc PTK). Nếu bạn không nắm bắt được cái bắt tay đó, sẽ không có cách nào để Wireshark tìm hiểu các phi quân, vì vậy không có cách nào để nó tìm ra PTK mà khách hàng và AP đã tạo cho phiên đó, vì vậy không có cách nào để Wireshark giải mã phiên đó.

Bạn đã đề cập rằng bạn không tìm thấy bất kỳ khung EAPOL nào trong bản chụp của bạn. Nhìn và xem nếu bạn có các cặp khung xác thực và liên kết lớp 802.11. Tôi cá là bạn cũng không có được những thứ đó. Bắt tay khóa EAPOL xuất hiện ngay sau khi trao đổi khung Associate.

Cập nhật: Ngoài ra, hãy đảm bảo bạn đang chụp ở chế độ lăng nhăng. Chế độ màn hình 802.11 sẽ hiển thị cho bạn các tiêu đề 802.11 và các khung cụ thể 802.11, nhưng nó vẫn có thể không hiển thị cho bạn các điểm không rõ ràng giữa các thiết bị khác trừ khi bạn cũng bật chế độ lăng nhăng.

Spiff
nguồn
Xin chào @Spiff, Cảm ơn thông tin. Mặc dù tôi đã thử tất cả những điều bạn đã đề cập ở trên. Wireshark của tôi giải mã đúng tệp cap mẫu, nhưng, như bạn đã chỉ ra một cách chính xác, tôi không thể nắm bắt được Phản hồi thăm dò, Xác thực, liên kết hoặc EAPOL. Tôi chỉ nhận được khung đèn hiệu và khung yêu cầu thăm dò và khung dữ liệu được mã hóa. Tôi đã cố gắng làm mọi thứ có thể nhưng tôi chỉ không thể nhìn thấy mình. Có phải vì một số điều không hỗ trợ AES PSK? Những người khác dường như đã xoay sở để làm điều đó với AES PSK bằng cách nào đó ... Sẽ thực sự tuyệt vời với bạn nếu bạn có thể giúp đỡ!
fineTuneFork
@fineTuneFork Bạn đã bắt đầu chụp trước khi máy đích tham gia mạng chưa? Thẻ chụp của bạn có khả năng có cùng tốc độ dữ liệu như AP và máy đích không? Ví dụ: nếu máy mục tiêu của bạn có thể thực hiện 3 luồng không gian (3SS, 450 mbps) và thẻ chụp của bạn chỉ có thể thực hiện 2SS (300 mbps), thì bạn không thể hy vọng thấy các gói mà máy mục tiêu gửi ở 3SS.
Spiff
Tôi đã bắt đầu chụp trước khi bật wi-fi trên motorola xt311 và nexus 7. Vẫn không có EAPOL - chỉ có đèn hiệu và yêu cầu thăm dò. Tôi chắc chắn hy vọng rằng máy mục tiêu không có phần cứng tốt hơn vì cả xt311 và nexus 7 đều khá lạc hậu về mặt công nghệ so với ultrabook (phải không?). Nếu tôi có thể nắm bắt các yêu cầu thăm dò thì phản ứng thăm dò, auth, eapol không tự động tuân theo?
fineTuneFork
@fineTuneFork Có thể an toàn khi cho rằng Motorola Fire XT311 và Nexus 7 đều là thiết bị 1SS, vì vậy tôi hy vọng radio của Ultrabook có khả năng nhận ở mọi tốc độ dữ liệu giống như các thiết bị khác có thể gửi. Bạn có thể muốn chắc chắn rằng Ultrabook của bạn có vị trí tốt; nếu hai thiết bị khác nằm cạnh nhau và Ultrabook ở bên kia phòng, nó có thể không thể giải mã được tốc độ dữ liệu hàng đầu của các thiết bị khác.
Spiff
cả hai đều nằm cạnh ultrabook của tôi. Vẫn không thể chụp EAPOL. Tôi chỉ cần một hoạt động wireshark thành công để có được một vài thứ. Tôi đã không thể bẻ khóa thứ wireshark này được 2 năm rồi! Phew ... tại sao điều này xảy ra với tôi ... Dù sao đi nữa, bạn sẽ đề nghị tôi đăng cùng một câu hỏi trong danh sách gửi thư của wireshark chứ?
fineTuneFork
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.