En la red inalámbrica que se ejecuta bajo el protocolo WPA2, la comunicación entre un cliente y el AP se cifra mediante una clave de sesión (llamándola de esa manera, pero si hay un término más exacto, me alegraría para editarlo) que se intercambia entre ellos durante el Apretón de manos de 4 vías (que verifica si dicho cliente está en posesión de la PSK).
Esta clave de sesión es única para cada cliente conectado al AP. Supongo que esa afirmación desde que un atacante está olfateando una red, necesita tener el apretón de manos de cada cliente si desea descifrar cada comunicación de los clientes con el AP. Entonces, incluso si está conectado a dicha red, no podrá descifrar la comunicación de otra persona con el AP, ya que su clave de sesión es diferente (a menos que capte el 4-4). Manera apretón de manos del otro cliente).
Durante un ataque de MiTM utilizando falsificación ARP, ya está conectado al AP, pero no tiene las claves de sesión de los otros clientes. Una vez que envenenen su caché ARP, comenzarán a enviar los paquetes destinados a ser enviados al AP a su máquina. La pregunta es, ya que todavía creen que están hablando con el AP, ¿no cifrarán los paquetes utilizando la clave de sesión que intercambiaron con el AP durante la conexión?
Lo pregunto porque al experimentar (en mi propia red) no necesitaba el protocolo de enlace de 4 vías para ver el tráfico descifrado en la máquina atacante, que creía que necesitaría. Me preguntaba si tal vez la clave de sesión esté asociada a la dirección MAC, por lo que una vez que la víctima comience a hablar con su MAC, aunque crea que usted es la puerta de enlace, no cifrará el tráfico con la clave de sesión que estaba usando antes.