Como posso saber se o Wireshark decifrou com sucesso uma captura?

Question

Como posso saber se o Wireshark decifrou com sucesso uma captura?

#1 resposta do (1 votos)
#2 resposta do (0 votos)

1

Eu usei o Microsoft Network Monitor 3.4 no Windows 7 para criar um arquivo de captura a partir da minha rede sem fio g, definindo o modo monitor.

Quando carregado no Wireshark, posso ver o handshake de quatro vias e posso inserir a senha na barra de ferramentas, mas todos os pacotes que parecem dados são "Qos Data" e não vejo nenhum texto óbvio (veja abaixo).

Eu posso descriptografar a sessão criptografada do teste do Wireshark.

O que eu realmente quero saber é se os pacotes estão sendo descriptografados com sucesso no Wireshark e simplesmente não há pacotes de dados capturados.

A sessão de captura de dados começou comigo desconectando o dispositivo de destino e reconectando-o, navegando para a Wikipédia e clicando em artigos que tentavam gerar muito "texto".

Brincando com as opções IEEE 802.11 do Wireshark, apenas os pacotes de "dados Qos" mudaram o protocolo para LLC.

FYI Eu tenho uma senha / frase longa e complexa, mas todos os caracteres ASCII.

wireshark decryption wireless-networking

por rob 20.07.2014 / 19:01

2 respostas

0

Como uma dica rápida, você pode capturar pacotes sem fio diretamente de wireshark sob windows. Instale o software Acrylic WiFi e inicie o Wireshark como Administrador. O Wireshark mostrará a você novas interfaces de rede wirekes emuladas pelo driver NDIS da Acrylic. Acrílico também suporta pcap e inclui dissectores do protocolo 802.11

link

por 07.08.2014 / 19:47

Tags wireshark decryption wireless-networking

Altere a nova guia para about: blank no chrome sem nenhuma extensão [duplicate] Posso criar diferentes versões de um formato de título no Word 2013?

score 1 · Accepted Answer

"Dados de QoS" é o tipo moderno de pacotes de dados, porque a QoS é obrigatória nas redes 802.11n e 802.11ac. Você nunca deve ver mais pacotes "Data" antigos, a menos que você esteja farejando uma rede A / B / G antiga.

Se você olhar dentro dos pacotes de Dados de QoS, o decodificador deverá informar se eles estão criptografados ou não.

Minha aposta é que você não está decodificando com sucesso, caso contrário, já veria os detalhes de nível mais alto decodificados.

Quando você mexer com as coisas e ver a LLC, o importante a ser observado é se todas elas mostram LLC / SNAP, ou se elas são, na maioria, SNAP não-convencionais, com DSAPs e SSAPs aleatórios. Se for SNAP, ele poderá ser decodificado adequadamente, porque todos os quadros 802.11 contêm um subquadro 802.2 LLC / SNAP. Se não for SNAP LLC com SSAPs e DSAPs aleatórios, provavelmente está sendo decodificado errado. Se você tentar interpretar dados criptografados aleatoriamente, ele geralmente aparece como LLC com SSAPs e DSAPs aleatórios. Então, se é isso que você está vendo, provavelmente você está tentando interpretar dados criptografados aleatoriamente como se fosse um pacote descriptografado.