Notieren Sie sich das falsche Passwort / den falschen Schlüssel, mit dem versucht wurde, eine Verbindung zum hostapd-Netzwerk herzustellen

0

Ich habe auf meiner Linux-Box ein WPA2Netzwerk mit hostapdgehostet und möchte die falschen Schlüssel aufzeichnen, die bei fehlgeschlagenen Verbindungsversuchen verwendet wurden. Wenn ich das richtig verstanden habe, wird das eigentliche Passwort nicht übertragen, nur die 64-Byte-PSK, die alles ist, was ich brauche. Wie kann ich konfigurieren hostapd, dass fehlgeschlagene Verbindungsversuche zusammen mit den darin verwendeten Schlüsseln protokolliert werden?

Billy
quelle

Antworten:

0

Wie bereits erwähnt, werden beim 4-Wege-Handshake weder das Passwort noch der paarweise 256-Bit-Hauptschlüssel PMK (abgeleitet aus dem Passwort und der SSID) zwischen Station und Access Point ausgetauscht.

Details zum 4-Wege-Handshake finden Sie zB hier oder hier .

In dem von Ihnen beschriebenen Fall (wenn ein falsches Passwort verwendet wird) werden nur die ersten beiden Nachrichten ausgetauscht:

  • In Nachricht 1 sendet der AP ein Nonce (Na) an die Station.
  • Die Station verwendet diese Nonce (Na), eine Nonce seiner eigenen (Ns), seiner eigenen MAC-Adresse, der MAC-Adressen des AP und des PMK, um einen Nachrichtenintegritätscode (MIC) aufzubauen.
  • In Nachricht 2 sendet die Station dann sein Nonce (Ns) und das MIC an den AP.
  • Der Access Point verwendet nun seine Nonce (Na), die Nonce der Station (Ns), seine eigene MAC-Adresse, die MAC-Adressen der Station und das PMK, um das von der Station empfangene MIC zu rekonstruieren und damit das PMK zu überprüfen von der Station verwendet wurde, war korrekt. Im Falle eines von der Station verwendeten falschen PMK kann das von der Station in Nachricht 2 gesendete MIC vom AP nicht verifiziert werden. Daher stoppt der AP den Handshake und sendet die Nachricht 3 des Handshakes nicht.

Nach meinem Kenntnisstand im Userland haben Sie keinen Zugriff auf die Inhalte der EAPOL-Verwaltungsframes, die während des Handshakes über eine Schnittstelle ausgetauscht werden, die von bereitgestellt wird hostapd.

Um herauszufinden, welches Passwort verwendet wurde, sollten Sie den WPA2-Handshake (EAPOL-Frames) mit einer WLAN-Karte erfassen, die auf den Überwachungsmodus eingestellt ist. Wenn Sie die ersten beiden Frames des 4-Wege-Handshakes in Ihrem Capture haben, haben Sie alle Informationen, die erforderlich sind, um das von der Station verwendete Passwort im Prinzip wiederherzustellen, nämlich

  • Nonce Na
  • Nonce Ns
  • MAC-Adresse der Station
  • MAC-Adresse des AP
  • MIC

Sie können ein Tool wie aircrack-ng verwenden , um das Kennwort durch einen Brute-Force- oder Wörterbuchangriff auf den erfassten partiellen WPA2-Handshake wiederherzustellen.

oh.dae.su
quelle
0

Nein, die PSK wird nicht übertragen. Es wäre ein schreckliches Sicherheitsprotokoll, wenn es so wäre. Jeder würde in der Nähe befindliche SSIDs fälschen, um Kunden dazu zu bringen, ihre Passwörter preiszugeben.

Es gibt keine Möglichkeit, das zu tun, wonach Sie suchen. Wäre dies der Fall, wäre WPA2 längst ersetzt worden.

Spiff
quelle
Gibt es überhaupt keine Protokollierung, wenn jemand versucht, eine Verbindung zu einem WPA2-Netzwerk herzustellen? Oder sieht der AP nicht einmal den Datenverkehr, wenn er nicht den richtigen Schlüssel verwendet oder so?
Xen2050
@ Xen2050 hostapd druckt eine Nachricht, wenn jemand eine Verbindung herstellt. Sie enthält lediglich nicht das von ihm verwendete Kennwort oder den verwendeten Schlüssel.
Billy
@Spiff Wenn die PSK nicht übertragen wird, woher weiß der AP, dass der Client sie richtig verstanden hat?
Billy