Como posso saber se o Wireshark descriptografou com sucesso uma captura

tag-icon tag-icon wireless-networking wireshark decryption
Como posso saber se o Wireshark descriptografou com sucesso uma captura

Usei o Microsoft Network Monitor 3.4 no Windows 7 para criar um arquivo de captura da minha rede sem fio G, configurando o modo monitor.

Quando carregado no Wireshark, posso ver o handshake de quatro vias e posso inserir a senha na barra de ferramentas de teclas, mas todos os pacotes que parecem dados são "Qos Data" e não consigo ver nenhum texto óbvio (veja abaixo).

Posso descriptografar a sessão criptografada do teste Wireshark.

O que eu realmente quero saber é se os pacotes estão sendo descriptografados com sucesso no Wireshark e simplesmente não há pacotes de dados capturados.

A sessão de captura de dados começou comigo desconectando o dispositivo de destino e reconectando, em seguida, navegando na Wikipedia e clicando em artigos tentando gerar muito "texto".

Mexer nas opções do Wireshark IEEE 802.11 apenas fez com que os pacotes de "dados Qos" mudassem de protocolo para LLC.

Para sua informação, tenho uma senha/frase longa e complexa, mas todos os caracteres ASCII.

Responder1

"QoS Data" é o tipo moderno de pacotes de dados, porque QoS é obrigatório em redes 802.11n e 802.11ac. Você nunca mais deverá ver pacotes de "dados" antigos, a menos que esteja farejando uma rede A/B/G antiga.

Se você olhar dentro dos pacotes de dados QoS, o decodificador deverá informar se eles estão criptografados ou não.

Minha aposta é que você não os está decodificando com sucesso, caso contrário, você já verá detalhes de nível superior decodificados.

Quando você mexe nas coisas e vê LLC, o importante a observar é se todos eles mostram LLC/SNAP ou se são, em sua maioria, LLC não SNAP com DSAPs e SSAPs aleatórios. Se for SNAP, então ele poderá ser decodificado corretamente, porque todos os quadros 802.11 contêm um subquadro 802.2 LLC/SNAP. Se não for SNAP LLC com SSAPs e DSAPs aleatórios, provavelmente está sendo decodificado incorretamente. Se você tentar interpretar dados criptografados aleatórios, eles geralmente aparecerão como LLC com SSAPs e DSAPs aleatórios. Então, se é isso que você está vendo, provavelmente está tentando interpretar dados criptografados aleatórios como se fossem um pacote descriptografado.

Responder2

Como dica rápida, você pode capturar pacotes sem fio diretamente do wireshark no Windows. Instale o software Acrílico WiFi e inicie o Wireshark como administrador. Wireshark mostrará novas interfaces de rede wirekes emuladas pelo driver Acrílico NDIS. Acrílico também suporta pcap e inclui dissecadores de protocolo 802.11

https://www.acrylicwifi.com/en/wlan-software/wlan-scanner-acrylic-wifi-free/

informação relacionada