¿Cómo descifro los paquetes encriptados WPA2 usando Wireshark?

14

Estoy tratando de descifrar mis datos de WLAN con Wireshark. Ya he leído e intentado todo en esta página pero sin ningún éxito (bueno, probé el volcado de ejemplo en esa página y lo logré, pero fallé con mis propios paquetes).

Tomé el apretón de manos de cuatro vías de otro cliente que se conectaba a la red.

La información de mi red es la siguiente:

  • WPA2-PSK Personal con cifrado AES
  • SSID: prueba
  • Frase de contraseña: mypass
  • La información anterior daría esta clave previamente compartida: 58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

En Wireshark en Preferencias -> IEEE 802.11, he establecido esta línea como Clave 1:

wpa-psk:58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

He probado las diferentes opciones de "Ignorar el bit de protección" pero ninguna funciona.

¿Qué me podría haber perdido?

EDITAR ¡
Esto es realmente EXTRAÑO! Ahora puedo descifrar los paquetes que van desde / hacia mi otra computadora portátil. Pero los paquetes que van desde / hacia mi iPad NO están descifrados. ¿Por qué no se pueden descifrar los paquetes de mi iPad? Está en la misma red.

Rox
fuente
1
¿Qué tipo de encabezado de capa de enlace usó al capturar los paquetes?
Spiff
A riesgo de hacer una pregunta tonta, ¿está seguro de que la red está configurada para el modo precompartido? De acuerdo con la página vinculada "El descifrado en modo empresarial WPA / WPA2 aún no es compatible".
Wayne Johnston
@Spiff: Supongo que es Ethernet porque puedo capturar paquetes, pero todos están descifrados. Voy a echar un vistazo más tarde este día y volveré aquí con la respuesta.
Rox
@WayneJohnston: NO es una pregunta tonta. :-) Estoy usando WPA2 Personal con AES, por lo que está en modo precompartido.
Rox
44
@Rox, ¿estás seguro de que estás viendo paquetes HTTP sin procesar y no cosas enviadas a través de HTTPS? Además, ¿puedes descifrar los paquetes usando aircrack-ng? IIRC, debería poder usar los paquetes obtenidos con Wireshark(en lugar de usarlos airmon-ngnuevamente).
Avance

Respuestas:

3

WPA utiliza un nonce (número aleatorio utilizado solo para esta sesión) para proporcionar frescura (por lo que la misma clave no se usa siempre). A diferencia de WEP, los mensajes para diferentes hosts se cifran con una clave diferente. Su iPad está usando una clave completamente diferente de su computadora portátil para descifrar / descifrar los paquetes (estas claves se generan a partir de la clave maestra permanente y otra información cada vez que se conecta a la red). Consulte este artículo de Wikipedia para obtener más detalles y como punto de partida.

Babeo_Ovejas
fuente
1

Debe capturar específicamente el protocolo de enlace EAPOL de la sesión que desea descifrar. No puede capturar el apretón de manos de un dispositivo y luego descifrar el tráfico de otro dispositivo. Entonces, supongo que cuando puede descifrar el tráfico de su computadora portátil pero no del iPad, Wireshark solo capturó el apretón de manos en cuatro direcciones de la computadora portátil.

Por Knytt
fuente