WiresharkはWPA2 LANトラフィックを復号化できません
自分のネットワークトラフィックを復号化したい。
私はサムスンのラップトップにLinux MintとAR542xワイヤレスネットワークアダプターを搭載しています。
Wiresharkを開き、無差別モードと監視モードでキャプチャを開始すると、周囲のすべてのパッケージを受け取ります。
問題は、それを解読できないことです。
[設定]-> [プロトコル]-> [IEEE 802.11復号化キー]に追加しました。
- 形式passのpwd:ESSID
- WiresharkのWebサイトからpass + saltから生成されたPSK
私はこの主題についてたくさんのコメントを見つけました、そこですべてを試しました:
- 「保護ビットを無視する」および「パケットにFCSがあると想定する」で遊ぶ
- wiresharkを再起動しました
- キャプチャが開始された後でデバイスをLANに接続して、ハンドシェイクをキャプチャできるようにします。
私に何ができる ?
編集:
WiresharkをLinuxの最新の安定バージョンに更新しましたが、それでも動作しません。
さて、基本から始めましょう。接続ごとに動的に生成される(したがって、4ウェイハンドシェイクをキャプチャする必要がある)PTK(ペアワイズトランジェントキー)が必要なトラフィックを復号化するには、PMK(またはPSK)から派生します。 PBKDF2によって生成され、すでに持っている2つの入力(複数ありますが、ハードコードされています)があります。
Wiresharkがトラフィックを復号化するには、4ウェイハンドシェイクをキャプチャし(ここから、ANounce、SNounce、MICを使用して、PTKが会話と一致するかどうかを確認する)、PMKを提供する必要があります。
PMKを提供するには、正しい構文でEdit-> Preferences-> IEEE 802.11の802.11キーリストにパスフェーズを追加するだけです
wpa-pwd:passphrase:SSID
OR
wpa-pwd:passphrase
SSIDはオプションであり、Wiresharkはそれを検出したときにハンドシェイクから取得できます。
使用する場合wpa-psk: PBKDF2関数を使用して手動でPMK(PSK)を計算し、その後に次のように出力(256ビットキー)を書き込む必要があります。
wpa-psk:47389...30413
これがwikiの ガイドですwpa-pwd:をキーフィールドに入力します。
- パスpass:ESSIDのpwd
最終的解決
Wiresharkで、APがオンになっているチャネルを選択します。 ( 提供されるdoremifasolasido )