首先，我想澄清一些事情。然后，为了更好地回答您的问题，我将简要说明 WPA2 的工作原理。最后，我会直接回答你的问题。

TKIP 和 AES 是实际的加密方法。TKIP 在任何情况下都不安全，实际上不再受现代 802.11 支持（从 802.11n 开始，如果您使用 TKIP，设备应该禁用 HT 数据速率，使您的最大数据速率为 54Mbps 或 802.11g 速度）。

WPA/WPA2 是用于提供在接入点和站点之间使用的加密密钥的方法。AFAIK WPA/AES 今天仍然是安全的，但 WPA 是对 WEP 的几个主要问题的“快速修复”。没有理由使用 WPA 而不是 WPA2，所以除非有特殊原因，否则应该只使用 WPA2/AES（个人/PSK 或企业）。

因此，要启动 WPA2，双方都需要一个共同的起点（“成对主密钥”或 PMK）​​来构建加密密钥（“成对瞬态密钥”或 PTK）。使用 WPA2-Personal 或 WPA2-PSK 时，PMK 是（散列的）预共享密钥 (PSK)。

PTK 是通过组合和散列以下值来创建的：PMK、验证器随机数值或 ANonce、请求者随机数值或 SNonce、AP 的 MAC 地址 (BSSID)，最后是站的 MAC 地址。（如果需要，可以在维基百科条目中获取更多背景信息。）

PTK 的信息以四次握手方式交换：

1. 站点通过身份验证后，AP 将向站点发送 ANonce。
2. 站点以 SNonce 和 MIC（消息完整性代码）进行响应。
3. 然后，AP 使用 GTK（组临时密钥 - 用于广播/多播）和 MIC 响应站点。
4. 该站向 AP 发送确认。

完成此操作后，站点和 AP 都能够生成 PTK 并且知道另一方也能够这样做。

如果您知道密码，是否可以嗅探加密的 wifi SSID 上的所有数据包？

PSK 不是密码或用于直接加密数据。相反，它用作用于生成 PTK 的 PMK。站点和接入点之间的每个会话都以唯一的加密密钥结束。

然而，这个问题的答案是，是的，这是可能的，但要这样做，捕获的人必须知道 PSK（再次是 PMK）并捕获生成 PTK 的四次握手。

让一个站重新初始化这个连接是相当简单的，这样你就可以捕获握手。这通常是通过欺骗从 AP 到站点的解除验证帧导致它们重新连接来实现的。

SSID 密码是仅对 SSID 内的所有设备作为一个组提供一般隔离，还是在设备之间建立完全独立的隔离，以防止一般流量嗅探？

正如我上面详述的那样，由于 Nonce 值，每个 PTK 不仅对于站点而且对于连接/会话都是唯一的。所以一般来说，它们是孤立的。

请记住，在使用 PSK 时，所有站共享/知道相同的 PMK 材料，因此如果他们真的想捕获来自其他站的流量，则可以提供捕获握手。

在这种情况下，我主要考虑常见的 WPA2 Personal / TKIP / 预共享密钥，但是其他各种 wifi 加密方法的答案是否不同？

对于使用相同的 PMK 已知固定值的任何方法来说都是如此。那么如何才能不对 PMK 使用固定值呢？通过使用 WPA2-Enterprise。

WPA2-Enterprise 更加安全，因为每个经过身份验证的站点都将拥有唯一的 PMK，并且每次站点连接时 PMK 都是唯一的。PMK 由 RADIUS 身份验证服务器（向站点和接入点提供）在身份验证过程中提供，同时站点首次连接（握手之前）。

_{注意：我确实重用了我在我们姐妹网站之一的类似问题上发布的部分答案，信息安全。}

上面的答案是正确的 - 非常详细和有见地。我想补充的一件事是您执行此捕获的环境是什么？如果它在企业环境中，您可以简单地设置一个最靠近设备的端口监控会话，源是出站网络流量的端口，目的地是您的笔记本电脑/台式机。只需将所有流量镜像到出站端口，如果您有几个 SVI/VLAN 将无线流量从本地流量中分离出来，您就能够捕获离开该接口的所有流量。我们有一个无线局域网控制器 (4402) 连接到我们的 2960-S 交换机，然后连接到我们的 2900 系列路由器。每当我做监视器时，我只需镜像我想要监视或捕获的端口，并以这种方式查看数据。