Wireshark no WPA2-PSK [AES] não descriptografando

3

Estou tentando capturar todos os pacotes na minha rede de todos os dispositivos conectados a um SSID.

  • Comecei o airmon-ng
  • Monitoramento iniciado em mon0
  • Preferências alteradas no wireshark para 'habilitar a descriptografia' com wpa-pwd:

Depois de tudo isso, inicio a captura na minha rede WPA2-PSK [AES] e recebo todos os tipos de pacotes, mas não a descriptografa e todos os filtros (mesmo para eapol ou http) não mostram nenhum pacote.

Estou tentando entender o wireshark há muito tempo e não há uma explicação adequada das coisas. Como descriptografar o tráfego wpa2-psk?

Uma captura de tela da captura está aqui:

insira a descrição da imagem aqui

networking wireless-networking encryption wireshark fineTuneFork
fonte
1
Tem certeza de que o Wireshark suporta a descriptografia de uma conexão WPA2-PSK-AES? Verifique a versão do Wireshark que você usa suporta fazendo o que você precisa: wiki.wireshark.org/HowToDecrypt802.11 . Também parece que você tem o PSK e o AES ativados, o que provavelmente não é suportado pelo Wireshark.
Ramhound

Respostas:

4

Se você ainda não leu, leia o documento Como Descriptografar 802.11 do Wireshark sobre isso e tente descriptografar a captura de amostra.

Se você não pode conseguir que o Wireshark descriptografe os quadros no arquivo de exemplo, provavelmente está com um bug do Wireshark.

Dicas para ver se você decodificou o arquivo de exemplo:

  • Você não pode decodificar os quadros 3, 26 ou 47; Então, basicamente, você não verá nada mudar na primeira tela de quadros, mesmo que decifre com êxito as coisas. Você precisa rolar para baixo depois de ver o handshake Auth, Assoc e EAPOL-key.
  • O primeiro quadro que você pode decodificar é 99 (Dados, 404 bytes). Totalmente descriptografada e decodificada, é uma solicitação DHCP.
  • O quadro 102 (dados, 652 bytes) é um DHCP ACK.

Agora, sobre descriptografar suas próprias capturas:

Observe que, para decodificar quadros WPA-PSK ou WPA2-PSK de suas próprias capturas, você deve capturar todos os quatro quadros do handshake da chave EAPOL , o que acontece logo após o cliente se associar ao AP. O ponto de acesso e o cliente pegam o PSK e geram alguns nonces criptográficos, trocam os nonces por meio do handshake com a chave EAPOL e derivam uma chave de sessão única (a chave temporal emparelhada ou PTK). Se você não capturar esse aperto de mão, não há como o Wireshark aprender os nonces; portanto, não há como descobrir o PTK que o cliente e o AP criaram para essa sessão; portanto, não há como o Wireshark descriptografar essa sessão.

Você já mencionou que não encontrou nenhum quadro EAPOL em sua captura. Veja e veja se você possui os pares de quadros Authenticate e Associate da camada 802.11. Aposto que você também não conseguiu. O handshake da tecla EAPOL vem logo após a troca de quadros Associado.

Atualização: verifique também se está capturando no modo promíscuo. O modo de monitor 802.11 mostrará cabeçalhos 802.11 e quadros específicos para 802.11, mas ainda pode não mostrar unicasts entre outros dispositivos, a menos que você também ative o modo promíscuo.

Spiff
fonte
Hey @ Spiff, Obrigado pela informação. Embora eu já tenha tentado todas as coisas que você mencionou acima. Meu Wireshark descriptografa o arquivo de limite de amostra corretamente, mas, como você apontou corretamente, não consigo capturar o Probe Response, Authenticate, Associate ou EAPOL. Só recebo quadros de beacon e quadros de solicitação de sonda e quadros de dados criptografados. Eu tentei fazer todas as coisas possíveis, mas eu simplesmente não consigo entender. É por causa de alguma coisa do AES PSK no-wireshark-support? Outros parecem ter conseguido fazê-lo com o AES PSK de alguma forma ... Seria realmente incrível da sua parte se você puder ajudar!
fineTuneFork
@fineTuneFork Você iniciou sua captura antes de a máquina de destino ingressar na rede? O seu cartão de captura é capaz das mesmas taxas de dados do AP e da máquina de destino? Por exemplo, se sua máquina de destino pode fazer 3 fluxos espaciais (3SS, 450 mbps) e sua placa de captura pode fazer apenas 2SS (300 mbps), não é possível ver os pacotes que a máquina de destino enviou em 3SS.
Spiff
Comecei a capturar antes de ligar meu wi-fi no motorola xt311 e nexus 7. Ainda não há EAPOL - apenas solicitações de sinalização e sonda. Espero, com certeza, que a máquina de destino não tenha um hardware melhor, porque o xt311 e o nexus 7 são bastante tecnologicamente atrasados ​​em comparação com um ultrabook (certo?). Se eu conseguir capturar solicitações de análise, a resposta da análise, auth, eapol, não deve ser seguida automaticamente?
fineTuneFork
@fineTuneFork Provavelmente, é seguro assumir que o Motorola Fire XT311 e o Nexus 7 são dispositivos 1SS, portanto, espero que o rádio do Ultrabook seja capaz de receber as mesmas taxas de dados que os outros dispositivos podem enviar. Você pode querer garantir que seu Ultrabook esteja bem posicionado; se os outros dois dispositivos estivessem próximos um do outro e o Ultrabook estivesse do outro lado da sala, talvez não fosse possível decodificar as principais taxas de dados dos outros dispositivos.
Spiff
ambos estavam ao lado do meu ultrabook. Ainda não é possível capturar EAPOLs. Eu só preciso de uma operação bem-sucedida do wireshark para entender as coisas. Eu não sou capaz de decifrar essa coisa do wireshark há 2 anos! Ufa ... por que isso aconteceu comigo? De qualquer forma, você sugere que eu publique a mesma pergunta na lista de discussão do wireshark?
fineTuneFork