Wireshark non può decodificare il traffico LAN WPA2

Naviga le tue risposte
6

Voglio decodificare il mio traffico di rete.

Ho Linux Mint sul portatile Samsung con un adattatore di rete wireless AR542x.

Apri Wireshark, avvia l'acquisizione in modalità promiscua e amp; modalità monitor e ricevo tutti i pacchetti intorno a me.

The problem is that I cant decrypt it.

Ho aggiunto in Preferenze - > Protocolli - > Chiavi di decrittografia IEEE 802.11:

  • pwd in format pass: ESSID
  • PSK generato da pass + salt dal sito web di Wireshark

Ho trovato molti commenti su questo argomento, ho provato tutto lì fuori:

  • gioca con "ignore protection bit" e "supponiamo che i pacchetti abbiano FCS"
  • riavviato Wireshark
  • connetti un dispositivo alla LAN dopo che la cattura è stata avviata, in modo da poter acquisire l'handshake.

What can I do ?

EDIT:

Ho aggiornato Wireshark sull'ultima versione stabile per Linux e ancora non funziona.

    
posta doremifasolasido 19.04.2017 - 22:27
fonte

1 risposta

5

OK, iniziamo con le basi, per decifrare il traffico necessario il PTK (chiave transitoria Pairwise) che genera dinamicamente ogni connessione (quindi è necessario acquisire l'handshake a 4 vie) ed è derivato dal PMK (o PSK) che è generato dal PBKDF2 e ha due ingressi (ha più ma sono hardcoded) che hai già.

Per consentire a Wireshark di decrittografare il traffico, è necessario acquisire l'handshake a quattro vie (da qui si utilizzano ANounce, SNounce e MIC per verificare se il PTK corrisponde alla conversazione) e fornire il PMK.

Per fornire il PMK, aggiungi la passphase all'elenco delle chiavi 802.11 in Modifica- > Preferenze- > IEEE 802.11 con la sintassi corretta 

wpa-pwd:passphrase:SSID
OR
wpa-pwd:passphrase

L'SSID è opzionale, Wireshark può ottenerlo dall'handshake quando lo vede.

SE UTILIZZA wpa-psk: devi calcolare manualmente il PMK (PSK) con la funzione PBKDF2 e scrivere l'output (chiave a 256 bit) dopo di esso, in questo modo: 

wpa-psk:47389...30413

Ecco la guida dal wiki. Forse ti manca solo wpa-pwd: nel campo chiave.

  • pwd in format pass:ESSID

SOLUZIONE FINALE

In Wireshark seleziona il canale in cui si trova l'AP. ( Fornito da doremifasolasido )

    
risposta data 20.04.2017 - 18:08
fonte

Leggi altre domande sui tag

Come bloccare tutte le applicazioni dalla connessione internet? Un IP sconosciuto registrato nel mio gmail [chiuso]