使用 Wireshark 解码 wpa-psk 流量

网络工程 无线的 IEEE-802.11 线鲨 监控
2021-07-16 23:31:01

我想绘制每个客户端从受 wpa-psk 保护的接入点(我控制)使用的数据量。为此,我打算监控所有流量几天。但是我无法解码 TCP 数据。

我按照这里的说明做了,将我的原始密钥添加到 Wireshark:https : //wiki.wireshark.org/HowToDecrypt802.11

我使用这个工具从预共享密钥和 SSID 生成它:https : //www.wireshark.org/tools/wpa-psk.html

但我只得到data带有 base64 内容的原始字段:

Frame 1181: 161 bytes on wire (1288 bits), 161 bytes captured (1288 bits) on interface 0
Radiotap Header v0, Length 48
802.11 radio information
IEEE 802.11 QoS Data, Flags: .p....F..
Data (75 bytes)
    Data: aaaa0300000008004500003b000040003a11df93d83ac6c3...
    [Length: 75]

我究竟做错了什么?

2个回答

不确定为什么wireshark无法自动执行此操作,但您可以在“数据”部分看到IPv4标头

45 => version/header length
00 => ToS
003b => Length (= 59 bytes)
0000 => Identifier
4000 => Flags + Frag offset
3a => TTL
11 => Protocol (0x11 = 17 = UDP)
df93 => Header Checksum
d83ac6c3 => Source IP address (216.58.198.195)

(最后 4 个字节 = 您的帖子中没有目标 IP 地址。尝试使用 -x 选项让 tshark 以十六进制打印整个帧)。

IPv4 标头前面的数据是SNAP 标头

aa aa 03 000000 0800

解决方案是忽略保护位。

在首选项 -> 协议 -> IEEE 802.11: 在此处输入图片说明

这个旧的 Wireshark 邮件列表中找到了解决方案

其它你可能感兴趣的问题
上一篇Hot Potato,路由器中选择路由的算法 下一篇为什么静态 IP 地址被认为是一种不好的做法?