IEEE802.11 WPA2-Verkehr mit PSK-Schlüssel für die Driftnet-Analyse dauerhaft entschlüsseln

1135
TheFuzzyFish

Ok, also merke ich, dass mein Titel sehr vage ist. Lass mich etwas näher ausführen. Das ist meine Situation:

Ich bin in einer Testumgebung, daher kenne ich alle Variablen (WPA2-Netzwerkkennwort / PSK-Schlüssel). Ich habe eine drahtlose Netzwerkerfassung mit Wireshark in einem WPA2-verschlüsselten Netzwerk durchgeführt, während sich mein Adapter im Überwachungsmodus befand. Daher entschlüsselte der drahtlose Treiber keine der Daten, die er an Wireshark weiterleitete. Daher sah ich nur Pakete, die mit "802.11" gekennzeichnet waren " Protokoll. Ich habe ein paar Pakete zur De-Authentifizierung ausgesendet, um alle temporären WPA2-PSK-Sitzungsschlüssel der nahegelegenen Geräte zu erfassen. Dann ging ich zu Wiresharks Bearbeiten> Voreinstellungen> Protokolle> IEEE 802.11 und aktivierte die Schlüsselentschlüsselung, betrat mein WPA-PSK-Netzwerk und nachdem ich mit einigen fiesen FCS- und Schutzbiteinstellungen gebastelt hatte, konnte ich Daten in Echtzeit erfolgreich entschlüsseln. Also startete ich mein Handy und ging zu einer Website ohne SSL, die Bilddaten enthielt. und sah, wie die Daten durch Wireshark gingen. So konnte ich diese Daten erfolgreich erfassen. Ich habe es in einer pcap-Datei gespeichert, so dass es leicht von externen Programmen gelesen werden konnte (das, was ich mir vorstellte, war Driftnet).

Als ich zu driftnet ging, sah ich jedoch keines der Bilder, von denen ich es erwartet hatte. Ungerade. Also ging ich zurück zu wireshark, öffnete die pcap, bastelte an den Einstellungen und merkte dann, dass die Rohversion gespeichert wurde, nicht die Version mit den entschlüsselten WPA2-Daten. Nun, Ochsen.

Gibt es in meiner aktuellen Situation ein Softwarepaket, mit dem ich die pcap- Datei entschlüsseln kann (NICHT nur für eine Wireshark-Sitzung, sondern tatsächlich die Pakete in der Datei ändern)? Bietet Wireshark es einheimisch an?

TL; DR: Ich kenne die PSK eines WPA2-Netzwerks und habe eine PCAP von einigen Bildern durchgeschickt. Kann ich die pcap-Datei durch einen Entschlüsseler laufen lassen, damit ich die Bilder im Driftnet sehen kann?

0

1 Antwort auf die Frage

1
Christopher Maynard

Meines Wissens ist es für Wireshark nicht möglich, die entschlüsselten Pakete zu exportieren. Sie sollten jedoch zumindest einige der Bilder direkt von Wireshark mit der Funktion "Datei -> Exportieren -> Objekte" von Wireshark exportieren können, sofern diese Bilder über eines der wenigen von Wireshark unterstützten Protokolle transportiert werden (Wireshark 1.12. 13 unterstützt nur HTTP, DICOM und SMB / SMB2, neuere Versionen unterstützen jedoch möglicherweise zusätzliche Protokolle.)

Weitere Informationen zum Exportieren von Objekten finden Sie in Abschnitt 5.7.8 des Wireshark-Benutzerhandbuchs.

Möglicherweise gibt es andere Tools, die dafür besser geeignet sind als Wireshark oder Driftnet. Werfen Sie einen Blick auf die Werkzeugliste auf Wireshark die Werkzeuge Wiki - Seite für ein paar Möglichkeiten.

Verwandte Probleme