Comment décrypter les paquets cryptés WPA2 à l'aide de Wireshark?

14

J'essaie de décrypter mes données WLAN avec Wireshark. J'ai déjà lu et essayé tout sur cette page mais sans succès (enfin, j'ai essayé l'exemple de vidage sur cette page et j'ai réussi, mais j'échoue avec mes propres paquets).

J'ai attrapé la poignée de main à quatre voies d'un autre client se connectant au réseau.

Mes informations réseau sont les suivantes:

  • WPA2-PSK Personal avec cryptage AES
  • SSID: test
  • Phrase secrète: mypass
  • Les informations ci-dessus donneraient cette clé pré-partagée: 58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

Dans Wireshark dans les Préférences -> IEEE 802.11, j'ai défini cette ligne comme clé 1:

wpa-psk:58af7d7ce2e11faeab2278a5ef45de4944385f319b52a5b2d82389faedd3f9bf

J'ai essayé les différentes options de "Ignorer le bit de protection" mais aucune ne fonctionne.

Que pouvais-je manquer?

EDIT
C'est une chose vraiment ÉTRANGE! Je peux maintenant décrypter les paquets qui vont de / vers mon autre ordinateur portable. Mais les paquets qui vont de / vers mon iPad ne sont PAS déchiffrés. Pourquoi les paquets de mon iPad ne peuvent-ils pas être déchiffrés? C'est sur le même réseau.

Rox
la source
1
Quel type d'en-tête de couche liaison avez-vous utilisé lors de la capture des paquets?
Spiff
Au risque de poser une question stupide, êtes-vous sûr que le réseau est configuré pour le mode pré-partagé? Selon la page liée "Le déchiffrement en mode entreprise WPA / WPA2 n'est pas encore pris en charge".
Wayne Johnston
@Spiff: Je suppose que c'est Ethernet parce que je peux capturer des paquets, mais ils sont tous déchiffrés. Je vais jeter un œil plus tard dans la journée et revenir ici avec la réponse.
Rox
@WayneJohnston: Ce n'est PAS une question stupide. :-) J'utilise WPA2 Personal avec AES donc c'est en mode pré-partagé.
Rox
4
@Rox, êtes-vous sûr de voir les paquets HTTP bruts, et non les trucs envoyés via HTTPS? Pouvez-vous également décrypter les paquets en utilisant aircrack-ng? IIRC, vous devriez pouvoir utiliser les paquets obtenus avec Wireshark(par opposition à airmon-ngréutiliser).
Percée

Réponses:

3

WPA utilise un nonce (nombre aléatoire utilisé uniquement pour cette session) pour fournir de la fraîcheur (donc la même clé n'est pas utilisée à chaque fois). Contrairement à WEP, les messages pour différents hôtes sont chiffrés à l'aide d'une clé différente. Votre iPad utilise une clé complètement différente de votre ordinateur portable pour crypter / décrypter les paquets (ces clés sont générées à partir de la clé principale permanente et d'autres informations chaque fois que vous vous connectez au réseau). Voir cet article wikipedia pour plus de détails et comme point de départ.

Drooling_Sheep
la source
1

Vous devez capturer spécifiquement la négociation EAPOL de la session que vous souhaitez décrypter. Vous ne pouvez pas capturer la poignée de main d'un appareil, puis décrypter le trafic d'un autre appareil. Donc, je suppose que lorsque vous pouvez décrypter le trafic de votre ordinateur portable mais pas de l'iPad, Wireshark n'a capturé que la poignée de main à quatre voies de l'ordinateur portable.

Per Knytt
la source