¿Cómo puedo saber si Wireshark ha descifrado con éxito una captura?

tag-icon tag-icon wireless-networking wireshark decryption
¿Cómo puedo saber si Wireshark ha descifrado con éxito una captura?

He utilizado Microsoft Network Monitor 3.4 en Windows 7 para crear un archivo de captura desde mi red inalámbrica g configurando el modo monitor.

Cuando lo cargo en Wireshark, puedo ver el protocolo de enlace de cuatro vías y puedo ingresar la contraseña en la barra de herramientas de claves, pero todos los paquetes que parecen datos son "Datos Qos" y no veo ningún texto obvio (ver más abajo).

Puedo descifrar la sesión cifrada de prueba de Wireshark.

Lo que realmente quiero saber es si los paquetes se están descifrando correctamente en Wireshark y simplemente no se capturan paquetes de datos.

La sesión de captura de datos comenzó cuando desconecté el dispositivo de destino y lo reconecté, luego navegué por Wikipedia y hice clic en artículos tratando de generar una gran cantidad de "texto".

Jugar con las opciones de Wireshark IEEE 802.11 solo hizo que los paquetes de "datos Qos" cambiaran de protocolo a LLC.

Para su información, tengo una contraseña/frase larga y compleja, pero todos caracteres ascii.

Respuesta1

"QoS Data" es el tipo moderno para paquetes de datos, porque QoS es obligatorio en las redes 802.11n y 802.11ac. Nunca más deberías ver paquetes de "Datos" antiguos, a menos que estés husmeando una red A/B/G antigua.

Si observa el interior de los paquetes de datos QoS, el decodificador debería indicarle si están cifrados o no.

Mi apuesta es que no los estás decodificando exitosamente, de lo contrario ya verías decodificados detalles de nivel superior.

Cuando juegas con las cosas y ves LLC, lo importante a tener en cuenta es si todos muestran LLC/SNAP, o si en su mayoría son LLC que no son SNAP con DSAP y SSAP aleatorios. Si es SNAP, entonces podría descodificarse correctamente, porque todas las tramas 802.11 contienen una subtrama 802.2 LLC/SNAP. Si no es SNAP LLC con SSAP y DSAP aleatorios, entonces probablemente se esté decodificando incorrectamente. Si intenta interpretar datos cifrados aleatorios, a menudo aparecen como LLC con SSAP y DSAP aleatorios. Entonces, si eso es lo que estás viendo, probablemente estés intentando interpretar datos cifrados aleatorios como si fueran un paquete descifrado.

Respuesta2

Como consejo rápido, puede capturar paquetes inalámbricos directamente desde Wirehark en Windows. Instale el software Acrylic WiFi y luego inicie Wireshark como administrador. Wireshark le mostrará nuevas interfaces de red Wirekes emuladas por el controlador Acrylic NDIS. Acrylic también es compatible con pcap e incluye disectores de protocolo 802.11

https://www.acrylicwifi.com/es/wlan-software/wlan-scanner-acrylic-wifi-free/

información relacionada