A partir desta página wiki :
O WPA e o WPA2 usam chaves derivadas de um handshake EAPOL para criptografar o tráfego. A menos que todos os quatro pacotes de handshake estejam presentes na sessão que você está tentando descriptografar, o Wireshark não poderá descriptografar o tráfego. Você pode usar o eapol do filtro de exibição para localizar pacotes EAPOL em sua captura.
Notei que a descriptografia funciona com (1, 2, 4) também, mas não com (1, 2, 3). Tanto quanto sei, os dois primeiros pacotes são suficientes, pelo menos para o tráfego unicast. Alguém pode explicar exatamente como o Wireshark lida com isso, em outras palavras, por que apenas a sequência anterior funciona, dado que o quarto pacote é apenas um reconhecimento? Além disso, é garantido que o (1, 2, 4) funcionará sempre quando (1, 2, 3, 4) funcionar?
Caso de teste
Este é o handshake compactado com gzip (1, 2, 4) e um ARP
pacote criptografado (SSID :, SSID
senha :) password
na base64
codificação:
H4sICEarjU8AA2hhbmRzaGFrZS5jYXAAu3J400ImBhYGGPj / n4GhHkhfXNHr37KQgWEqAwQzMAgx 6HkAKbFWzgUMhxgZGDiYrjIwKGUqcW5g4Ldd3rcFQn5IXbWKGaiso4 + RmSH + H0MngwLUZMarj4Rn S8vInf5yfO7mgrMyr9g / Jpa9XVbRdaxH58v1fO3vDCQDkCNv7mFgWMsAwXBHMoEceQ3kSMZbDFDn ITk1gBnJkeX / GDkRjmyccfus4BKl75HC2cnW1eXrjExNf66uYz + VGLl + snrF7j2EnHQy3JjDKPb9 3fOd9zT0TmofYZC4K8YQ8IkR6JaAT0zIJMjxtWaMmCEMdvwNnI5PYEYJYSTHM5EegqhggYbFhgsJ 9gJXy42PMx9JzYKEcFkcG0MJULYE2ZEGrZwHIMnASwc1GSw4mmH1JCCNQYEF7C7tjasVT + 0 / J3LP gie59HFL + 5RDIdmZ8rGMEldN5s668eb / tp8vQ + 7OrT9jPj / B7425QIGJI3Pft72dLxav8BefvcGU 7 + kfABxJX + SjAgAA
Decodifique com:
$ base64 -d | gunzip > handshake.cap
Execute tshark
para verificar se ele descriptografou corretamente o ARP
pacote:
$ tshark -r handshake.cap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-pwd:password:SSID
Deve imprimir:
1 0.000000 D-Link_a7: 8e: b4 -> HonHaiPr_22: 09: b0 Chave EAPOL 2 0.006997 HonHaiPr_22: 09: b0 -> D-Link_a7: 8e: b4 Chave EAPOL 3 0.038137 HonHaiPr_22: 09: b0 -> D-Link_a7: 8e: b4 Chave EAPOL 4 0.376050 ZyxelCom_68: 3a: e4 -> HonHaiPr_22: 09: b0 O ARP 192.168.1.1 está em 00: a0: c5: 68: 3a: e4