我想解密我自己的网络流量。
我在带有 AR542x 无线网络适配器的三星笔记本电脑上安装了 Linux Mint。
打开 Wireshark,在混杂模式和监控模式下开始捕获,我收到了我周围的所有包。
问题是我无法解密它。
我在 Preferences -> Protocols -> IEEE 802.11 Decryption keys 中添加了:
我发现了很多关于这个主题的评论,尝试了一切:
我能做什么 ?
编辑 :
我将 Wireshark 更新为 Linux 的最新稳定版本,但仍然无法正常工作。
好的,让我们从基础开始,解密您需要 PTK(成对临时密钥)的流量,它是在每个连接中动态生成的(因此您需要捕获 4 次握手),并且源自 PMK(或 PSK)由 PBKDF2 生成,并且有两个你已经拥有的输入(它有更多但是硬编码的)。
对于 Wireshark 解密流量,它需要捕获四次握手(从这里它需要 ANounce、SNounce 和 MIC 来验证 PTK 是否与对话匹配)并提供 PMK。
要提供 PMK,只需使用正确的语法将密码添加到Edit->Preferences->IEEE 802.11中的 802.11 密钥列表
wpa-pwd:passphrase:SSID
OR
wpa-pwd:passphrase
SSID 是可选的,Wireshark 看到它就可以从握手中得到它。
如果您使用,wpa-psk:您需要使用PBKDF2 函数手动计算 PMK(PSK),并在其后写入输出(256 位密钥),如下所示:
wpa-psk:47389...30413
这是来自 wiki的指南。也许您只是缺少wpa-pwd:关键字段中的 。
- 密码格式 pass:ESSID
在 Wireshark 中选择 AP 所在的通道。(多雷米法索拉西多提供)