Bagaimana cara mendekripsi paket terenkripsi WPA2 menggunakan Wireshark?

14

Saya mencoba mendekripsi data WLAN saya dengan Wireshark. Saya sudah membaca dan mencoba semuanya di halaman ini tetapi tidak berhasil (well, saya mencoba contoh dump di halaman itu dan berhasil, tetapi saya gagal dengan paket saya sendiri).

Saya menangkap jabat tangan empat arah dari klien lain yang terhubung ke jaringan.

Info jaringan saya adalah sebagai berikut:

  • WPA2-PSK Personal dengan enkripsi AES
  • SSID: test
  • Frasa sandi: mypass
  • Info di atas akan memberikan kunci preshared ini: 58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

Di Wireshark di Preferensi -> IEEE 802.11 Saya telah menetapkan baris ini sebagai Kunci 1:

wpa-psk:58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

Saya telah mencoba berbagai opsi "Abaikan bit perlindungan" tetapi tidak ada yang berhasil.

Apa yang bisa saya lewatkan?

EDIT
Ini adalah hal yang sangat aneh! Saya sekarang dapat mendekripsi paket yang pergi dari / ke laptop saya yang lain. Tetapi paket yang pergi dari / ke iPad saya TIDAK didekripsi. Mengapa paket dari iPad saya tidak dapat didekripsi? Itu di jaringan yang sama.

wireless-networking wireshark wpa2-psk decrypt Rox
sumber
1
Jenis header tautan-lapisan apa yang Anda gunakan saat mengambil paket?
Spiff
Dengan risiko mengajukan pertanyaan bodoh, apakah Anda yakin jaringan dikonfigurasikan untuk mode pra-bagi? Menurut halaman tertaut "dekripsi mode perusahaan WPA / WPA2 belum didukung".
Wayne Johnston
@Spiff: Saya menganggap itu adalah Ethernet karena saya dapat menangkap paket, tetapi semuanya didekripsi. Saya akan melihat hari ini dan kembali ke sini dengan jawabannya.
Rox
@WayneJohnston: BUKAN pertanyaan bodoh. :-) Saya menggunakan WPA2 Personal dengan AES sehingga dalam mode pra-berbagi.
Rox
4
@Rox, apakah Anda yakin melihat paket HTTP mentah, dan bukan barang yang dikirim melalui HTTPS? Juga, dapatkah Anda mendekripsi paket menggunakan aircrack-ng? IIRC, Anda harus dapat menggunakan paket yang diperoleh dengan Wireshark(bukan menggunakan airmon-nglagi).
Terobosan

Jawaban:

3

WPA menggunakan nonce (angka acak yang digunakan hanya untuk sesi ini) untuk memberikan kesegaran (jadi kunci yang sama tidak digunakan setiap waktu). Tidak seperti WEP, pesan untuk host yang berbeda dienkripsi menggunakan kunci yang berbeda. IPad Anda menggunakan kunci yang sama sekali berbeda dari laptop Anda untuk en / mendekripsi paket (kunci-kunci ini dihasilkan dari kunci master permanen dan info lainnya setiap kali Anda terhubung ke jaringan). Lihat artikel wikipedia ini untuk detail lebih lanjut dan sebagai titik awal.

Drooling_Sheep
sumber
1

Anda harus secara khusus menangkap jabat tangan EAPOL dari sesi yang ingin Anda dekripsi. Anda tidak dapat menangkap jabat tangan dari satu perangkat dan kemudian mendekripsi lalu lintas perangkat lain. Jadi tebakan saya adalah bahwa ketika Anda dapat mendekripsi lalu lintas dari laptop Anda tetapi tidak dari iPad maka Wireshark hanya menangkap jabat tangan empat arah dari laptop tersebut.

Per Knytt
sumber