No se puede obtener el tráfico TCP / HTTP de los paquetes WPA2 incluso con el protocolo de enlace completo y el descifrado

5

El problema

En mi red WPA2, he podido interceptar con éxito un saludo EAPOL de cuatro mensajes completos de una computadora en particular en mi red. Tengo entendido que con este apretón de manos (y conociendo la contraseña para mi red), debería poder descifrar no solo el tráfico de difusión, sino también el tráfico de Internet de esa computadora cuyo protocolo de enlace capturé, ya que su comunicación con el punto de acceso está cifrada. utilizando datos intercambiados en el protocolo de enlace y el PMK (computados a partir del SSID y los datos de la frase de contraseña).

Sin embargo, parece que sigo descifrando el tráfico de "difusión". No hay tráfico TCP desde la computadora cuyo protocolo de enlace capturé aunque visité sitios HTTP sin cifrar y utilicé netcat para comunicarme con otra computadora en la WLAN. Puedo decir que al menos los datos de transmisión se descifran correctamente porque puedo ver los códigos hexadecimales cifrados y descifrados de esos paquetes (son MDNS, ICMP, ARP, etc.). Incluso intenté tomar los datos y descifrarlos con airdecap-ng, pero esto tampoco funcionó.

Parece que, según los ejemplos de paquetes de datos con los que he podido jugar en Wireshark, debería poder obtener este tráfico. En particular, esta guía muestra cómo hacerlo y proporciona un archivo pcap en el que puede descifrar fácilmente los paquetes WPA2 y obtener un montón de paquetes TCP en Wireshark. Del mismo modo, el Wireshark Wiki explica cómo hacer esto además de proporcionar ejemplos de pcap que también se pueden descifrar para generar tráfico TCP.

Mi configuración

  • Kali Linux Live Persistence on USB
  • Alfa AWUS036H en modo monitor (utilizando airmon-ng)
  • WLAN con WPA2, sin WPS
  • Preferencias de Wireshark IEEE 802.11:
    • Habilitar el descifrado está marcado
    • Ignorar el bit de protección está establecido en No
    • Las claves de descifrado incluyen una entrada wpa2-pwd en el formato de frase de contraseña: ssid

Pregunta principal

¿Por qué no puedo captar el tráfico TCP de la computadora para la que intercepté un protocolo de enlace EAPOL completo, de la forma en que pude hacerlo en los archivos de pcap de muestra que he vinculado? ¿Estoy malinterpretando fundamentalmente cómo funciona esto, o es probable que sea el resultado de un problema relacionado con el hardware o la red?

    
pregunta saltthehash 29.08.2016 - 04:01
fuente

1 respuesta

4

Resulta que el problema era que mi WLAN está configurada como 802.11b / g / n, y los dispositivos de destino en los que había estado probando eran todos compatibles con 802.11b / g / n, por lo que estaban usando 802.11n Por defecto para comunicarse directamente con el AP. Como ahora me doy cuenta, el Alfa AWUS036H solo es compatible con 802.11 b / g, por lo que no fue capaz de interceptar el tráfico 802.11n. Una vez que cambié mi enrutador para usar solo b / g, pude capturar el tráfico TCP como se esperaba.

Lección aprendida : obtenga una tarjeta WiFi que sea realmente compatible con los estándares inalámbricos modernos -_-

    
respondido por el saltthehash 01.09.2016 - 18:47
fuente

Lea otras preguntas en las etiquetas