से इस विकि पेज :
WPA और WPA2 ट्रैफिक को एन्क्रिप्ट करने के लिए EAPOL हैंडशेक से प्राप्त कीज़ का उपयोग करते हैं। जब तक सभी चार हैंडशेक पैकेट सत्र को डिक्रिप्ट करने की कोशिश कर रहे हैं, तब तक Wireshark यातायात को डिक्रिप्ट नहीं कर पाएगा। आप अपने कैप्चर में EAPOL पैकेट का पता लगाने के लिए डिस्प्ले फ़िल्टर eapol का उपयोग कर सकते हैं।
मैंने देखा है कि डिक्रिप्शन (1, 2, 4) के साथ भी काम करता है, लेकिन (1, 2, 3) के साथ नहीं। जहां तक मुझे पता है कि पहले दो पैकेट पर्याप्त हैं, कम से कम किस बात के लिए ट्रैफिक एकतरफा है। क्या कोई कृपया यह बता सकता है कि विंडसरक किस तरह से व्यवहार करता है, दूसरे शब्दों में, केवल पूर्व अनुक्रम काम क्यों करता है, यह देखते हुए कि चौथा पैकेट सिर्फ एक पावती है? इसके अलावा, क्या यह गारंटी है कि (1, 2, 4) हमेशा काम करेगा जब (1, 2, 3, 4) काम करता है?
परीक्षण का मामला
यह Gzipped हाथ मिलाना (1, 2, 4) और एक ecrypted है ARP
पैकेट (: SSID SSID
:, पासवर्ड password
में) base64
एन्कोडिंग:
H4sICEarjU8AA2hhbmRzaGFrZS5jYXAAu3J400ImBhYGGPj / n4GhHkhfXNHr37KQgWEqAwQzMAgx 6HkAKbFWzgUMhxgZGDiYrjIwKGUqcW5g4Ldd3rcFQn5IXbWKGaiso4 + RmSH + H0MngwLUZMarj4Rn S8vInf5yfO7mgrMyr9g / Jpa9XVbRdaxH58v1fO3vDCQDkCNv7mFgWMsAwXBHMoEceQ3kSMZbDFDn ITk1gBnJkeX / GDkRjmyccfus4BKl75HC2cnW1eXrjExNf66uYz + VGLl + snrF7j2EnHQy3JjDKPb9 3fOd9zT0TmofYZC4K8YQ8IkR6JaAT0zIJMjxtWaMmCEMdvwNnI5PYEYJYSTHM5EegqhggYbFhgsJ 9gJXy42PMx9JzYKEcFkcG0MJULYE2ZEGrZwHIMnASwc1GSw4mmH1JCCNQYEF7C7tjasVT + 0 / J3LP gie59HFL + 5RDIdmZ8rGMEldN5s668eb / tp8vQ + 7OrT9jPj / B7425QIGJI3Pft72dLxav8BefvcGU 7 + kfABxJX + SjAgAA
डिकोड के साथ:
$ base64 -d | gunzip > handshake.cap
tshark
यह देखने के लिए चलाएँ कि क्या यह ARP
पैकेट को सही ढंग से डिक्रिप्ट करता है :
$ tshark -r handshake.cap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-pwd:password:SSID
इसे प्रिंट करना चाहिए:
1 0.000000 D-Link_a7: 8e: b4 -> HonHaiPr_22: 09: b0APE कुंजी 2 0.006997 HonHaiPr_22: 09: b0 -> D-Link_a7: 8e: b4 EAPOL कुंजी 3 0.038137 HonHaiPr_22: 09: b0 -> D-Link_a7: 8e: b4 EAPOL कुंजी 4 0.376050 ZyxelCom_68: 3a: e4 -> HonHaiPr_22: 09: b0 ARP 192.168.1.1 00 बजे है: a0: c5: 68: 3a: e4