WPA/WPA2 真正加密的是什么？

WPA（和 WPA2）对流量进行加密，加密级别低于 Wireshark 或类似工具可以捕获的级别。这些工具在操作系统的套接字接口上进行捕获，而不是在实际网络媒体级别进行捕获。当您通过受 WPA 保护的 WiFi 发送数据包时，直到数据广播前的最后一刻才会添加 WPA 加密。

可能还有其他加密方式 - 例如，我可以将 PGP 加密应用于电子邮件并通过 TLS 将其发送到 SMTP 服务器，这将是两层加密……但这些层级对于应用程序（例如我的电子邮件客户端）来说是可见的（并且实际上是由应用程序创建的）。嗅探该流量的人仍然能够看到它使用的协议（TCP，在 IP 之上）、它来自哪个端口并路由到哪个端口、目标 IP 地址等信息。

但是，一旦数据包到达 WiFi 接口驱动程序，它就会使用我的机器用于 WPA 的 AES 密钥进行加密。此时，唯一可见的东西就是我正在使用的网络 SSID（我认为源和目标 MAC 地址也可能可见）以及一个模糊的大小概念。没有 WiFi 密钥的人使用软件定义的无线电或混杂模式下的 WiFi 卡嗅探网络流量，无法分辨我的电子邮件和我发送网络 ping 或在 Skype 上聊天之间的区别；他们甚至无法分辨数据包在 WiFi 接入点之外去了哪里。

WPA-Personal（又名 WPA-PSK）的作用是加密空中传输的数据包，这样未连接到此网络的人就无法阅读您的消息（WEP 在这方面也做了同样的事情，顺便说一句，它只是以不同的方式进行，因此存在严重漏洞）。它还试图使不知道密码的人难以/无法连接到网络。

如果没有这种加密（例如在开放网络上），任何人都可以读取所有正在交换的数据包，甚至无需“连接”到网络：只需要足够接近就可以“听到”信号。

如果将外语视为一种加密，WPA 有点像这种情况：所有连接到此 WPA 网络的机器都使用只有 AP 才能理解的自己的语言。因此，未连接到网络的机器无法理解任何内容（除了见证机器与 AP 之间正在进行某种通信），而连接到此网络的机器只能通过 AP 进行通信才能相互交谈。

如此处所述这里加密是在 MAC 地址（帧有效负载）之后的第 2 层完成的，因此要查看加密流量，您必须使用具有 L2 嗅探功能的设备并尝试读取您嗅探的数据包。

WPA2-PSK (TKIP)、WPA2-PSK (AES) 和 WPA2-PSK (TKIP/AES) 之间的主要区别是什么

来源：Wi-Fi 安全：您应该使用 WPA2-AES、WPA2-TKIP 还是两者兼而有之？

TKIP 和 AES 是 Wi-Fi 网络可以使用的两种不同类型的加密。TKIP 代表“临时密钥完整性协议”。它是 WPA 引入的一种权宜之计加密协议，用于取代当时非常不安全的 WEP 加密。TKIP 实际上与 WEP 加密非常相似。TKIP 不再被认为是安全的，现已弃用。换句话说，您不应该使用它。

AES 代表“高级加密标准”。这是 WPA2 引入的更安全的加密协议，取代了临时的 WPA 标准。AES 并不是专门为 Wi-Fi 网络开发的陈旧标准；它是一种严肃的全球加密标准，甚至被美国政府采用。例如，当您使用 TrueCrypt 加密硬盘时，它可以使用 AES 加密。AES 通常被认为是相当安全的，主要弱点是暴力攻击（使用强密码可防止）和 WPA2 其他方面的安全漏洞。

总而言之，TKIP 是旧 WPA 标准使用的较旧的加密标准。AES 是新且安全的 WPA2 标准使用的较新的 Wi-Fi 加密解决方案。理论上，这就是结局。但是，根据您的路由器，仅选择 WPA2 可能还不够好。

虽然 WPA2 应该使用 AES 来实现最佳安全性，但它也可以选择使用 TKIP 来向后兼容旧设备。在这种情况下，支持 WPA2 的设备将使用 WPA2 连接，支持 WPA 的设备将使用 WPA 连接。因此，“WPA2”并不总是意味着 WPA2-AES。但是，在没有可见“TKIP”或“AES”选项的设备上，WPA2 通常与 WPA2-AES 同义。

家庭/工作网络的最佳解决方案是什么？谢谢。

以上文章的其余部分都涵盖了这些内容：

在我们见过的大多数路由器上，选项通常是 WEP、WPA（TKIP）和 WPA2（AES），或许还会附加 WPA（TKIP）+WPA2（AES）兼容模式。

如果您确实有某种奇怪的路由器，提供 TKIP 或 AES 版本的 WPA2，请选择 AES。几乎所有设备肯定都可以使用它，而且它更快、更安全。这是一个简单的选择，只要您能记住 AES 是好的选择。