Impossibile ottenere il traffico TCP / HTTP dai pacchetti WPA2 anche con l'handshake completo e la decrittografia

5

Il problema

Sulla mia rete WPA2, sono riuscito a intercettare un handshake EAPOL completo di quattro messaggi da un determinato computer sulla mia rete. Mi risulta che con questa stretta di mano (e conoscendo la passphrase per la mia rete), dovrei essere in grado di decodificare non solo il traffico broadcast, ma anche il traffico internet da quel computer di cui ho catturato la stretta di mano, poiché la sua comunicazione con il punto di accesso è crittografata utilizzando i dati scambiati nell'handshake e nel PMK (calcolati dai dati SSID e passphrase).

Tuttavia, mi sembra che decifri solo il traffico "trasmesso". Non c'è traffico TCP dal computer di cui ho catturato l'handshake anche se ho visitato siti HTTP non crittografati su di esso e ho usato netcat su di esso per comunicare con un altro computer sulla WLAN. Posso dire che almeno i dati trasmessi sono decifrati correttamente perché posso guardare i codici esadecimali cifrati e decrittografati per quei pacchetti (capita principalmente di essere MDNS, ICMP, ARP, ecc.). Ho anche provato a prendere i dati e decrittografarli con airdecap-ng, ma questo non ha funzionato neanche.

Sembra che sulla base di esempi di dati a pacchetto in cui sono stato in grado di giocare con Wireshark dovrei essere in grado di ottenere questo traffico. In particolare, questa guida mostra come eseguirlo e fornisce un file pcap su cui è possibile decodificare facilmente i pacchetti WPA2 e ottenere una serie di pacchetti TCP in Wireshark. Allo stesso modo, Wireshark Wiki spiega come eseguire questa operazione oltre a fornire campioni di pcap che possono anche essere decifrati per ottenere il traffico TCP.

My Setup

  • Persistenza live di Kali Linux su USB
  • Alfa AWUS036H in modalità monitor (utilizzando airmon-ng)
  • WLAN con WPA2, senza WPS
  • Preferenze Wireshark IEEE 802.11:
    • Abilita la decrittografia È spuntato
    • Ignora il bit di protezione è impostato su No
    • Le chiavi di decrittografia includono una voce wpa2-pwd nel formato della passphrase: ssid

Domanda principale

Perché non riesco a rilevare il traffico TCP dal computer per il quale ho intercettato un intero handshake EAPOL da, come sono stato in grado di farlo nei file pcap di esempio che ho collegato? Sono fondamentalmente frainteso su come funziona, o è probabilmente il risultato di un problema hardware o di rete?

    
posta saltthehash 29.08.2016 - 04:01
fonte

1 risposta

4

A quanto pare, il problema era che la mia WLAN è configurata come 802.11b / g / n, ei dispositivi di destinazione su cui stavo testando questo erano tutti compatibili 802.11b / g / n, quindi stavano usando 802.11n di default per comunicare direttamente con l'AP. Come ho capito ora, l'Alfa AWUS036H è compatibile solo con 802.11 b / g, quindi non è stato in grado di intercettare il traffico 802.11n! Una volta ho acceso il mio router per usare solo b / g, quindi sono stato in grado di catturare il traffico TCP come previsto.

Lezione appresa : ottieni una scheda WiFi che sia effettivamente compatibile con i moderni standard wireless -_-

    
risposta data 01.09.2016 - 18:47
fonte

Leggi altre domande sui tag