web-dev-qa-db-fra.com

Wireshark ne peut pas déchiffrer le trafic LAN WPA2

Je veux décrypter mon propre trafic réseau.

J'ai Linux Mint sur un ordinateur portable Samsung avec un adaptateur réseau sans fil AR542x.

Ouvrez Wireshark, lancez la capture en mode promiscuous et en mode moniteur et je reçois tous les packages autour de moi.

Le problème est que je ne peux pas le décrypter.

J'ai ajouté dans Préférences -> Protocoles -> Clés de déchiffrement IEEE 802.11:

  • pwd au format pass: ESSID
  • PSK généré à partir du pass + sel du site Web de Wireshark

J'ai trouvé beaucoup de commentaires sur ce sujet, j'ai tout essayé:

  • jouer avec "ignorer le bit de protection" et "supposer que les paquets ont FCS"
  • redémarré Wireshark
  • connectez un appareil au LAN après le démarrage de la capture afin que la poignée de main puisse être capturée.

Que puis-je faire ?

ÉDITER :

J'ai mis à jour Wireshark vers la dernière version stable pour Linux et ne fonctionne toujours pas.

6
doremifasolasido

OK, commençons par les bases, pour décrypter le trafic dont vous avez besoin la PTK (paire transitoire clé) qui est générée dynamiquement à chaque connexion (d'où la nécessité de capturer la poignée de main à 4 voies) et dérivée de la PMK (ou PSK) qui est généré par le PBKDF2 et possède deux entrées (il en a plus mais sont codées en dur) que vous avez déjà.

Pour que Wireshark déchiffre le trafic, il a besoin de capturer la poignée de main à quatre voies (à partir de là, il faut ANounce, SNounce et MIC pour vérifier si le PTK correspond à la conversation) et fournir le PMK.

Pour fournir le PMK, ajoutez simplement la phrase de passe à la liste des clés 802.11 dans Édition-> Préférences-> IEEE 802.11 avec la bonne syntaxe

wpa-pwd:passphrase:SSID
OR
wpa-pwd:passphrase

Le SSID est facultatif, Wireshark peut l'obtenir de la poignée de main quand il le voit.

SI TU UTILISES wpa-psk: vous devez calculer manuellement le PMK (PSK) avec la fonction PBKDF2 et écrire la sortie (clé 256 bits) après, comme ceci:

wpa-psk:47389...30413

Voici le guide du wiki. Peut-être que vous manquez juste le wpa-pwd: dans le champ clé.

  • pwd au format passe: ESSID

SOLUTION FINALE

Dans Wireshark, sélectionnez le canal dans lequel l'AP est activé. ( fourni par doremifasolasido )

4
Azteca