Wie entschlüssele ich WPA2-verschlüsselte Pakete mit Wireshark?

14

Ich versuche meine WLAN-Daten mit Wireshark zu entschlüsseln. Ich habe bereits alles auf dieser Seite gelesen und versucht, aber ohne Erfolg.

Ich habe den Vier-Wege-Handshake von einem anderen Client abgefangen, der eine Verbindung zum Netzwerk hergestellt hat.

Meine Netzwerkinformationen lauten wie folgt:

  • WPA2-PSK Personal mit AES-Verschlüsselung
  • SSID: Test
  • Passphrase: mypass
  • Die obigen Informationen geben diesen vorinstallierten Schlüssel an: 58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

In Wireshark in den Preferences -> IEEE 802.11 habe ich diese Zeile als Key 1 gesetzt:

wpa-psk:58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

Ich habe die verschiedenen Optionen von "Ignoriere das Schutzbit" ausprobiert, aber keine funktioniert.

Was hätte ich verpassen können?

BEARBEITEN
Dies ist eine wirklich seltsame Sache! Ich kann jetzt die Pakete entschlüsseln, die von / zu meinem anderen Laptop gehen. Aber die Pakete, die von / zu meinem iPad gehen, werden NICHT entschlüsselt. Warum können die Pakete von meinem iPad nicht entschlüsselt werden? Es befindet sich im selben Netzwerk.

Rox
quelle
1
Welchen Link-Layer-Headertyp haben Sie beim Erfassen der Pakete verwendet?
Spiff
Sind Sie sicher, dass das Netzwerk für den Pre-Shared-Modus konfiguriert ist? Laut der verlinkten Seite "WPA / WPA2 Enterprise Mode Entschlüsselung wird noch nicht unterstützt".
Wayne Johnston
@Spiff: Ich gehe davon aus, dass es sich um Ethernet handelt, da ich Pakete erfassen kann, aber alle entschlüsselt sind. Ich werde später an diesem Tag einen Blick darauf werfen und mit der Antwort hierher zurückkehren.
Rox
@ WayneJohnston: Es ist KEINE blöde Frage. :-) Ich verwende WPA2 Personal mit AES, es befindet sich also im Pre-Shared-Modus.
Rox
4
@Rox Sind Sie sicher, dass Sie HTTP-Rohpakete anzeigen und keine über HTTPS gesendeten Daten? Können Sie die Pakete auch mit entschlüsseln aircrack-ng? IIRC sollten Sie in der Lage sein, die mit erhaltenen Pakete zu verwenden Wireshark(im Gegensatz zu einer airmon-ngerneuten Verwendung ).
Durchbruch

Antworten:

3

WPA verwendet eine Nonce (Zufallszahl, die nur für diese Sitzung verwendet wird), um Aktualität zu gewährleisten (sodass nicht jedes Mal derselbe Schlüssel verwendet wird). Im Gegensatz zu WEP werden die Nachrichten für verschiedene Hosts mit einem anderen Schlüssel verschlüsselt. Ihr iPad verwendet einen völlig anderen Schlüssel als Ihr Laptop, um die Pakete zu entschlüsseln (diese Schlüssel werden bei jeder Verbindung mit dem Netzwerk aus dem permanenten Hauptschlüssel und anderen Informationen generiert). Siehe diesen Wikipedia-Artikel für weitere Details und als Ausgangspunkt.

Sabbern_Schaf
quelle
1

Sie müssen speziell den EAPOL-Handshake der Sitzung erfassen, die Sie entschlüsseln möchten. Sie können den Handshake eines Geräts nicht erfassen und dann den Datenverkehr eines anderen Geräts entschlüsseln. Wenn Sie also Datenverkehr von Ihrem Laptop entschlüsseln können, aber nicht vom iPad, erfasst Wireshark nur den Vierwege-Handschlag des Laptops.

Per Knytt
quelle