Wireshark no puede descifrar el tráfico LAN WPA2

Navega tus respuestas
6

Quiero descifrar mi propio tráfico de red.

Tengo Linux Mint en una computadora portátil Samsung con un adaptador de red inalámbrico AR542x.

Abra Wireshark, inicie la captura en modo promiscuo & modo monitor y recibo todos los paquetes a mi alrededor.

  

El problema es que no puedo descifrarlo.

Agregué en Preferencias - > Protocolos - > Claves de desencriptación IEEE 802.11:

  • pwd en formato pase: ESSID
  • PSK generado a partir de pass + salt desde el sitio web de Wireshark

Encontré muchos comentarios sobre este tema, probé todo lo que hay ahí afuera:

  • jugar con "ignorar el bit de protección" y "asumir que los paquetes tienen FCS"
  • reinició Wireshark
  • conecte un dispositivo a la LAN después de que se haya iniciado la captura para que se pueda capturar el protocolo de enlace.
  

¿Qué puedo hacer?

EDITAR:

Actualicé Wireshark a la última versión estable para Linux y aún no funciona.

    
pregunta doremifasolasido 19.04.2017 - 22:27
fuente

1 respuesta

5

Bien, comencemos con lo básico, para descifrar el tráfico que necesita el PTK (clave transitoria por pares) que se genera dinámicamente en cada conexión (por lo tanto, debe capturar el protocolo de enlace de 4 vías) y se deriva del PMK (o PSK) generado por el PBKDF2 y tiene dos entradas (tiene más pero está codificado) que ya tiene.

Para que Wireshark descifre el tráfico, necesita capturar el protocolo de cuatro vías (desde aquí toma ANounce, SNounce y MIC para verificar si el PTK coincide con la conversación) y proporciona el PMK.

Para proporcionar el PMK, simplemente agregue la contraseña a la lista de claves 802.11 en Editar- > Preferencias- > IEEE 802.11 con la sintaxis correcta 

wpa-pwd:passphrase:SSID
OR
wpa-pwd:passphrase

El SSID es opcional, Wireshark puede obtenerlo del protocolo cuando lo vea.

SI USTED UTILIZA wpa-psk: , necesita calcular manualmente el PMK (PSK) con la función PBKDF2 y escribir la salida (clave de 256 bits) después de esto, como esto: 

wpa-psk:47389...30413

Aquí está la guía de la wiki. Tal vez solo falte el wpa-pwd: en el campo clave.

  
  • pwd en formato pase: ESSID
    •   

SOLUCIÓN FINAL

En Wireshark, seleccione el canal en el que se activa el AP. ( Proporcionado por doremifasolasido )

    
respondido por el Azteca 20.04.2017 - 18:08
fuente

Lea otras preguntas en las etiquetas

Oauth2 vs APIKey en una comunicación de servidor a servidor ¿Por qué estamos desarrollando DNS sobre TLS y DNS sobre HTTPS?