Wie entschlüssle ich WPA2-verschlüsselte Pakete mit Wireshark?

28193
Rox

Ich versuche, meine WLAN-Daten mit Wireshark zu entschlüsseln. Ich habe bereits alles auf dieser Seite gelesen und ausprobiert, aber ohne Erfolg ( naja, ich habe den Beispieldump auf dieser Seite ausprobiert und war erfolgreich, aber ich scheitere mit meinen eigenen Paketen).

Ich habe den Vier-Wege-Handshake von einem anderen Client, der eine Verbindung zum Netzwerk herstellt, eingeholt.

Meine Netzwerkinformationen lauten wie folgt:

  • WPA2-PSK Personal mit AES-Verschlüsselung
  • SSID: Test
  • Passphrase: mypass
  • Die obigen Informationen geben diesen vorinstallierten Schlüssel an: 58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

In Wireshark habe ich in den Preferences -> IEEE 802.11 diese Zeile als Key 1 gesetzt:

wpa-psk:58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

Ich habe die verschiedenen Optionen von "Ignoriere das Schutzbit" ausprobiert, aber keine funktioniert.

Was hätte ich vermissen können?

EDIT
Dies ist eine wirklich seltsame Sache! Ich kann jetzt die Pakete entschlüsseln, die von / zu meinem anderen Laptop gehen. Aber die Pakete, die von / zu meinem iPad gehen, werden NICHT entschlüsselt. Warum können die Pakete von meinem iPad nicht entschlüsselt werden? Es befindet sich im selben Netzwerk.

14
Welchen Link-Layer-Header-Typ haben Sie beim Erfassen der Pakete verwendet? Spiff vor 12 Jahren 1
Sind Sie beim Risiko, eine stumme Frage zu stellen, sicher, dass das Netzwerk für den Pre-Shared-Modus konfiguriert ist? Laut der verlinkten Seite "WPA / WPA2 Enterprise Mode Decryption wird noch nicht unterstützt". Wayne Johnston vor 12 Jahren 0
@Spiff: Ich gehe davon aus, dass es sich um Ethernet handelt, da ich Pakete erfassen kann, die aber alle entschlüsselt sind. Ich werde später an diesem Tag einen Blick darauf werfen und mit der Antwort hierher zurückkehren. Rox vor 12 Jahren 0
@ WayneJohnston: Es ist keine dumme Frage. :-) Ich verwende WPA2 Personal mit AES, so dass es sich im Pre-Shared-Modus befindet. Rox vor 12 Jahren 0
@Spiff: Ich meinte, die Pakete sind alle verschlüsselt, nicht entschlüsselt. Rox vor 12 Jahren 0
@Spiff: Der Link-Layer-Header ist 802.11 plus Radiotap-Header. Schau dir meine Bearbeitung in meinem ersten Beitrag an. Ich kann keine Pakete von meinem iPad entschlüsseln. Ich kann jedoch Pakete von meinem anderen Laptop entschlüsseln. Warum ist das so? Rox vor 12 Jahren 0
Haben Sie alle 4 Pakete des 4-Wege-Handshakes auf dem iPad erfasst? Sie müssen den 4-Wege-Handshake für jeden Client sehen, dessen Datenverkehr entschlüsselt werden soll. Spiff vor 12 Jahren 0
Welche Version von Wireshark? Auf welchem ​​Betriebssystem (einschließlich Version) betreiben Sie es? Spiff vor 12 Jahren 0
@Spiff: Ja. Ich habe alle 4 eapol-Pakete des 4-Wege-Handshakes meines iPads erfasst. Ich verwende Backtrack 5 R2 mit Wireshark 1.6.5. Rox vor 12 Jahren 0
@Rox Sind Sie sicher, dass Sie rohe HTTP-Pakete anzeigen, und nicht über HTTPS gesendete Daten? Können Sie die Pakete auch mit `aircrack-ng` entschlüsseln? IIRC, Sie sollten in der Lage sein, die mit "Wireshark" erhaltenen Pakete zu verwenden (im Gegensatz zur erneuten Verwendung von "airmon-ng"). Breakthrough vor 12 Jahren 4

2 Antworten auf die Frage

3
Drooling_Sheep

WPA verwendet eine Nonce (Zufallszahl, die nur für diese Sitzung verwendet wird), um Frische zu gewährleisten (daher wird derselbe Schlüssel nicht jedes Mal verwendet). Im Gegensatz zu WEP werden die Nachrichten für verschiedene Hosts mit einem anderen Schlüssel verschlüsselt. Ihr iPad verwendet einen völlig anderen Schlüssel als Ihr Laptop, um die Pakete zu ver- / entschlüsseln (diese Schlüssel werden aus dem permanenten Hauptschlüssel und anderen Informationen jedes Mal generiert, wenn Sie sich mit dem Netzwerk verbinden). Sehen Sie sich diesen Wikipedia-Artikel für weitere Details und als Ausgangspunkt an.

1
Per Knytt

You need to specifically capture the EAPOL handshake of the session you want to decrypt. You cannot capture the handshake of one device and then decrypt the traffic of another device. So my guess is that when you can decrypt traffic from your laptop but not from the iPad then Wireshark only captured the fourway handshake of the laptop.

Verwandte Probleme