Sin utilizar Wireshark, ¿cómo se debe descifrar 802.11? Sé que se requieren EAPOL y la frase de contraseña, pero ¿cuáles son los pasos necesarios para realizar el descifrado? Otra forma de decirlo es, ¿cómo descifra Wireshark los paquetes capturados?
Respuesta1
Supongamos que tiene un seguimiento de paquetes en modo monitor 802.11 de una red Wi-Fi que usaba WPA2-PSK y desea descifrarlo manualmente sin usar la función Wireshark.
Primero, necesitará conocer la frase de contraseña WPA2 o PSK de la red. Si no tienes eso, no puedes hacer nada.
En segundo lugar, tenga en cuenta que cada cliente, cada vez que se vuelve a conectar, trabaja con el AP para generar una nueva clave de cifrado (la clave temporal por pares o PTK) que solo se usa para esa conexión. De modo que cada cliente obtiene una nueva clave cada vez que se vuelve a conectar. Estos PTK se generan a partir de una combinación de la frase de contraseña WPA2 (PSK), más algunos números aleatorios llamadosnoncesque el cliente y el AP generan cuando un cliente se [re]conecta.
Entonces, para descifrar el tráfico de un cliente determinado para una sesión de conexión determinada, necesita esos nonces, por lo que debe buscar en el seguimiento de su paquete y ver cuándo se conectó el cliente, y encontrar los fotogramas clave EAPOL (el protocolo de enlace WPA2) desde el principio de la conexión. Mire esos fotogramas, que estarán claros, y obtenga esos datos.
Una vez que tenga la frase de contraseña WPA2/PSK para la red y los datos del protocolo de enlace para una conexión determinada de un cliente determinado, puede hacer los cálculos AES-CCMP para descifrar el tráfico de esa sesión de cliente.
Los detalles de cómo funciona AES-CCMP están más allá del alcance de una pregunta de superusuario, pero están documentados públicamente en la especificación 802.11 (descargable gratuitamente desde IEEE) y en los documentos de AES a los que hace referencia.
Respuesta2
Supongo que su solicitud es SOLO para uso en laboratorio de pruebas. Si es así, para descifrar paquetes 802.11, como menciona anteriormente, debe proporcionar el SSID y la frase de contraseña a la aplicación Wireshark. También DEBE capturar el proceso de asociación (básicamente todos los paquetes de administración iniciales) cuando las estaciones se asocian al punto de acceso para poder descifrar los paquetes. Si tiene un archivo de captura cifrado y tiene el SSID y la frase de contraseña, su captura debe incluir el proceso de asociación. También puedes utilizar savvius (https://www.savvius.com/).