Como faço para descriptografar pacotes criptografados WPA2 usando o Wireshark?

14

Estou tentando descriptografar meus dados de WLAN com o Wireshark. Eu já li e tentei eveything nesta página mas sem nenhum sucesso (bem, eu tentei o exemplo despejo nessa página e consegui, mas eu falho com meus próprios pacotes).

Eu peguei o handshake de quatro vias de outro cliente conectado à rede.

As informações da minha rede são as seguintes:

  • WPA2-PSK Pessoal com criptografia AES
  • SSID: test
  • Frase secreta: mypass
  • As informações acima dariam essa chave pré-compartilhada: 58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

No Wireshark, nas Preferências - > IEEE 802.11, defini esta linha como Chave 1:

wpa-psk:58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

Eu tentei as diferentes opções de "Ignorar o bit de proteção", mas nenhuma funciona.

O que eu poderia ter perdido?

EDITAR
Isso é realmente uma coisa ESTRANHA! Agora posso descriptografar os pacotes que vão de / para meu outro laptop. Mas os pacotes que vão de / para o meu iPad NÃO são descriptografados. Por que os pacotes do meu iPad não podem ser descriptografados? Está na mesma rede.

    
por Rox 20.03.2012 / 22:05

2 respostas

3

O WPA usa um nonce (número aleatório usado apenas para esta sessão) para fornecer frescor (portanto, a mesma chave não é usada todas as vezes). Ao contrário do WEP, as mensagens para diferentes hosts são criptografadas usando uma chave diferente. Seu iPad está usando uma chave completamente diferente do seu laptop para en / descriptografar os pacotes (essas chaves são geradas a partir da chave mestra permanente e outras informações cada vez que você se conecta à rede). Consulte este artigo da Wikipédia para obter mais detalhes e como ponto de partida.

    
por 20.06.2012 / 07:49
1

Você precisa capturar especificamente o handshake EAPOL da sessão você quer descriptografar. Você não pode capturar o handshake de um dispositivo e Em seguida, descriptografe o tráfego de outro dispositivo. Então, meu palpite é que quando você pode descriptografar o tráfego do seu laptop, mas não do iPad, O Wireshark capturou apenas o handshake quádruplo do laptop.

    
por 25.07.2012 / 18:46