El problema
En mi red WPA2, he podido interceptar con éxito un saludo EAPOL de cuatro mensajes completos de una computadora en particular en mi red. Tengo entendido que con este apretón de manos (y conociendo la contraseña para mi red), debería poder descifrar no solo el tráfico de difusión, sino también el tráfico de Internet de esa computadora cuyo protocolo de enlace capturé, ya que su comunicación con el punto de acceso está cifrada. utilizando datos intercambiados en el protocolo de enlace y el PMK (computados a partir del SSID y los datos de la frase de contraseña).
Sin embargo, parece que sigo descifrando el tráfico de "difusión". No hay tráfico TCP desde la computadora cuyo protocolo de enlace capturé aunque visité sitios HTTP sin cifrar y utilicé netcat para comunicarme con otra computadora en la WLAN. Puedo decir que al menos los datos de transmisión se descifran correctamente porque puedo ver los códigos hexadecimales cifrados y descifrados de esos paquetes (son MDNS, ICMP, ARP, etc.). Incluso intenté tomar los datos y descifrarlos con airdecap-ng, pero esto tampoco funcionó.
Parece que, según los ejemplos de paquetes de datos con los que he podido jugar en Wireshark, debería poder obtener este tráfico. En particular, esta guía muestra cómo hacerlo y proporciona un archivo pcap en el que puede descifrar fácilmente los paquetes WPA2 y obtener un montón de paquetes TCP en Wireshark. Del mismo modo, el Wireshark Wiki explica cómo hacer esto además de proporcionar ejemplos de pcap que también se pueden descifrar para generar tráfico TCP.
Mi configuración
- Kali Linux Live Persistence on USB
- Alfa AWUS036H en modo monitor (utilizando airmon-ng)
- WLAN con WPA2, sin WPS
- Preferencias de Wireshark IEEE 802.11:
- Habilitar el descifrado está marcado
- Ignorar el bit de protección está establecido en No
- Las claves de descifrado incluyen una entrada wpa2-pwd en el formato de frase de contraseña: ssid
Pregunta principal
¿Por qué no puedo captar el tráfico TCP de la computadora para la que intercepté un protocolo de enlace EAPOL completo, de la forma en que pude hacerlo en los archivos de pcap de muestra que he vinculado? ¿Estoy malinterpretando fundamentalmente cómo funciona esto, o es probable que sea el resultado de un problema relacionado con el hardware o la red?