จากหน้าวิกินี้ :
WPA และ WPA2 ใช้คีย์ที่ได้รับจากการจับมือ EAPOL เพื่อเข้ารหัสการรับส่งข้อมูล ยกเว้นว่าแพ็กเก็ตจับมือทั้งสี่นั้นมีอยู่สำหรับเซสชันที่คุณกำลังพยายามถอดรหัส Wireshark จะไม่สามารถถอดรหัสการรับส่งข้อมูลได้ คุณสามารถใช้ตัวกรองการแสดงผล eapol เพื่อค้นหาแพ็กเก็ต EAPOL ในการจับภาพของคุณ
ฉันสังเกตเห็นว่าการถอดรหัสนั้นใช้ได้กับ (1, 2, 4) ด้วย แต่ไม่ใช่กับ (1, 2, 3) เท่าที่ฉันรู้สองแพ็กเก็ตแรกนั้นเพียงพออย่างน้อยสำหรับสิ่งที่เกี่ยวข้องกับการรับส่งข้อมูลแบบ unicast ใครช่วยอธิบายได้อย่างชัดเจนว่า Wireshark จัดการกับสิ่งนั้นได้อย่างไรในคำอื่น ๆ ว่าทำไมลำดับเฉพาะในอดีตจึงทำงานได้เนื่องจากแพ็คเก็ตที่สี่เป็นเพียงการตอบรับ? นอกจากนี้ยังรับประกันได้หรือไม่ว่า (1, 2, 4) จะทำงานเมื่อ (1, 2, 3, 4) ทำงานเสมอ
กรณีทดสอบ
นี่คือการจับมือ gzipped (1, 2, 4) และARP
แพ็คเก็ตแบบเข้ารหัส(SSID :, SSID
รหัสผ่าน:) password
ในการbase64
เข้ารหัส:
H4sICEarjU8AA2hhbmRzaGFrZS5jYXAAu3J400ImBhYGGPj / n4GhHkhfXNHr37KQgWEqAwQzMAgx 6HkAKbFWzgUMhxgZGDiYrjIwKGUqcW5g4Ldd3rcFQn5IXbWKGaiso4 + + RmSH H0MngwLUZMarj4Rn S8vInf5yfO7mgrMyr9g / Jpa9XVbRdaxH58v1fO3vDCQDkCNv7mFgWMsAwXBHMoEceQ3kSMZbDFDn ITk1gBnJkeX / GDkRjmyccfus4BKl75HC2cnW1eXrjExNf66uYz + + VGLl snrF7j2EnHQy3JjDKPb9 3fOd9zT0TmofYZC4K8YQ8IkR6JaAT0zIJMjxtWaMmCEMdvwNnI5PYEYJYSTHM5EegqhggYbFhgsJ 9gJXy42PMx9JzYKEcFkcG0MJULYE2ZEGrZwHIMnASwc1GSw4mmH1JCCNQYEF7C7tjasVT + 0 / J3LP gie59HFL + 5RDIdmZ8rGMEldN5s668eb / tp8vQ + 7OrT9jPj / B7425QIGJI3Pft72dLxav8BefvcGU 7 + + kfABxJX SjAgAA
ถอดรหัสด้วย:
$ base64 -d | gunzip > handshake.cap
เรียกใช้tshark
เพื่อดูว่ามันถอดรหัสARP
แพคเก็ตอย่างถูกต้องหรือไม่:
$ tshark -r handshake.cap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-pwd:password:SSID
ควรพิมพ์:
1 0.000000 D-Link_a7: 8e: b4 -> HonHaiPr_22: 09: b0 EAPOL Key 2 0.006997 HonHaiPr_22: 09: b0 -> D-Link_a7: 8e: b4 EAPOL Key 3 0.038137 HonHaiPr_22: 09: b0 -> D-Link_a7: 8e: b4 EAPOL Key 4 0.376050 ZyxelCom_68: 3a: e4 -> HonHaiPr_22: 09: b0 ARP 192.168.1.1 อยู่ที่ 00: a0: c5: 68: 3a: e4