Как узнать, успешно ли Wireshark расшифровал захваченный файл?

tag-icon tag-icon wireless-networking wireshark decryption
Как узнать, успешно ли Wireshark расшифровал захваченный файл?

Я использовал Microsoft Network Monitor 3.4 в Windows 7 для создания файла захвата из моей беспроводной сети G, установив режим монитора.

При загрузке в Wireshark я вижу четырехэтапное рукопожатие и могу ввести пароль на панели инструментов ключей, но все пакеты, которые выглядят как данные, являются «данными Qos», и я не вижу никакого очевидного текста (см. ниже).

Я могу расшифровать тестовый зашифрованный сеанс Wireshark.

На самом деле я хочу узнать, успешно ли расшифровываются пакеты в Wireshark или просто не перехватываются пакеты данных.

Сеанс сбора данных начался с того, что я отключил целевое устройство и подключил его снова, а затем зашел на Википедию и просмотрел статьи, пытаясь сгенерировать много «текста».

Изменение параметров Wireshark IEEE 802.11 привело только к изменению протокола пакетов «Qos data» на LLC.

К вашему сведению, у меня длинный и сложный пароль/фраза, но все они состоят из символов ASCII.

решение1

"QoS Data" — это современный тип пакетов данных, поскольку QoS является обязательным в сетях 802.11n и 802.11ac. Вы больше никогда не увидите простые старые пакеты "Data", если только вы не прослушиваете старую сеть A/B/G.

Если вы посмотрите внутрь пакетов данных QoS, декодер должен сообщить вам, зашифрованы они или нет.

Держу пари, что вы не можете их успешно расшифровать, иначе вы бы уже увидели расшифрованные более высокоуровневые детали.

Когда вы играете с вещами и видите LLC, важно отметить, показывают ли они все LLC/SNAP или они в основном не-SNAP LLC со случайными DSAP и SSAP. Если это SNAP, то его можно правильно декодировать, потому что все кадры 802.11 содержат подкадр 802.2 LLC/SNAP. Если это не-SNAP LLC со случайными SSAP и DSAP, то его, вероятно, декодируют неправильно. Если вы пытаетесь интерпретировать случайные зашифрованные данные, они часто отображаются как LLC со случайными SSAP и DSAP. Так что если это то, что вы видите, вы, вероятно, пытаетесь интерпретировать случайные зашифрованные данные, как если бы это был расшифрованный пакет.

решение2

В качестве краткого совета, вы можете захватывать беспроводные пакеты прямо из Wireshark под Windows. Установите программное обеспечение Acrylic WiFi, а затем запустите Wireshark от имени администратора. Wireshark покажет вам новые сетевые интерфейсы Wirekes, эмулируемые драйвером Acrylic NDIS. Acrylic также поддерживает pcap и включает в себя диссекторы протокола 802.11

https://www.acrylicwifi.com/en/wlan-software/wlan-scanner-acrylic-wifi-free/

Связанный контент