Без использования Wireshark, как 802.11 должны быть расшифрованы? Я знаю, что EAPOL и парольная фраза необходимы, но какие шаги необходимы для выполнения расшифровки? Другими словами, как Wireshark расшифровывает захваченные пакеты?
решение1
Предположим, у вас есть трассировка пакета 802.11 в режиме мониторинга сети Wi-Fi, которая использовала WPA2-PSK, и вы хотите расшифровать ее вручную, не используя функцию Wireshark.
Во-первых, вам нужно знать пароль WPA2 или PSK для сети. Если у вас его нет, вы ничего не сможете сделать.
Во-вторых, поймите, что каждый клиент, каждый раз, когда он переподключается, работает с AP, чтобы сгенерировать новый ключ шифрования (Pairwise Temporal Key или PTK), который используется только для этого соединения. Таким образом, каждый клиент получает новый ключ каждый раз, когда он переподключается. Эти PTK генерируются из комбинации парольной фразы WPA2 (PSK) и некоторых случайных чисел, называемыходноразовые номеракоторый генерируют клиент и точка доступа при [повторном] подключении клиента.
Итак, чтобы расшифровать трафик данного клиента для данного сеанса соединения, вам нужны эти одноразовые номера, поэтому вам нужно посмотреть на трассировку пакетов и увидеть, когда клиент подключился, и найти кадры EAPOL-key (рукопожатие WPA2) с начала соединения. Посмотрите на эти кадры, которые будут в открытом виде, и получите эти одноразовые номера.
Получив пароль WPA2/PSK для сети и одноразовые номера из рукопожатия для данного соединения от данного клиента, вы можете выполнить математические вычисления AES-CCMP для расшифровки трафика из этого клиентского сеанса.
Подробности работы AES-CCMP выходят за рамки вопроса SuperUser, но они публично задокументированы в спецификации 802.11 (ее можно бесплатно загрузить с сайта IEEE) и в документах AES, на которые она ссылается.
решение2
Я предполагаю, что ваш запрос предназначен ТОЛЬКО для использования в тестовой лаборатории. Если так, то для расшифровки пакетов 802.11, как вы упомянули выше, вы должны предоставить SSID и парольную фразу приложению Wireshark. Вы ДОЛЖНЫ также захватить процесс ассоциации (в основном все начальные пакеты управления), когда станции ассоциируются с точкой доступа, чтобы расшифровать пакеты. Если у вас есть зашифрованный файл захвата и у вас есть SSID и парольная фраза, ваш захват должен включать процесс ассоциации. Вы также можете использовать savvius (https://www.savvius.com/).