Desde esta página wiki :
WPA y WPA2 usan claves derivadas de un protocolo de enlace EAPOL para cifrar el tráfico. A menos que los cuatro paquetes de protocolo de enlace estén presentes para la sesión que está intentando descifrar, Wireshark no podrá descifrar el tráfico. Puede usar el filtro de pantalla eapol para localizar paquetes EAPOL en su captura.
He notado que el descifrado también funciona con (1, 2, 4), pero no con (1, 2, 3). Hasta donde yo sé, los dos primeros paquetes son suficientes, al menos para lo que concierne al tráfico de unidifusión. ¿Alguien puede explicar exactamente cómo Wireshark trata eso, en otras palabras, por qué solo funciona la secuencia anterior, dado que el cuarto paquete es solo un reconocimiento? Además, ¿está garantizado que (1, 2, 4) siempre funcionará cuando (1, 2, 3, 4) funcione?
Caso de prueba
Este es el apretón de manos comprimido (1, 2, 4) y un ARP
paquete cifrado (SSID:, SSID
contraseña :) password
en la base64
codificación:
H4sICEarjU8AA2hhbmRzaGFrZS5jYXAAu3J400ImBhYGGPj / n4GhHkhfXNHr37KQgWEqAwQzMAgx 6HkAKbFWzgUMhxgZGDiYrjIwKGUqcW5g4Ldd3rcFQn5IXbWKGaiso4 + RmSH + H0MngwLUZMarj4Rn S8vInf5yfO7mgrMyr9g / Jpa9XVbRdaxH58v1fO3vDCQDkCNv7mFgWMsAwXBHMoEceQ3kSMZbDFDn ITk1gBnJkeX / GDkRjmyccfus4BKl75HC2cnW1eXrjExNf66uYz + VGLl + snrF7j2EnHQy3JjDKPb9 3fOd9zT0TmofYZC4K8YQ8IkR6JaAT0zIJMjxtWaMmCEMdvwNnI5PYEYJYSTHM5EegqhggYbFhgsJ 9gJXy42PMx9JzYKEcFkcG0MJULYE2ZEGrZwHIMnASwc1GSw4mmH1JCCNQYEF7C7tjasVT + 0 / J3LP gie59HFL + 5RDIdmZ8rGMEldN5s668eb / tp8vQ + 7OrT9jPj / B7425QIGJI3Pft72dLxav8BefvcGU 7 + kfABxJX + SjAgAA
Decodificar con:
$ base64 -d | gunzip > handshake.cap
Ejecute tshark
para ver si descifra correctamente el ARP
paquete:
$ tshark -r handshake.cap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-pwd:password:SSID
Debería imprimir:
1 0.000000 D-Link_a7: 8e: b4 -> HonHaiPr_22: 09: b0 Clave EAPOL 2 0.006997 HonHaiPr_22: 09: b0 -> D-Link_a7: 8e: b4 Tecla EAPOL 3 0.038137 HonHaiPr_22: 09: b0 -> D-Link_a7: 8e: b4 Tecla EAPOL 4 0.376050 ZyxelCom_68: 3a: e4 -> HonHaiPr_22: 09: b0 ARP 192.168.1.1 está en 00: a0: c5: 68: 3a: e4