我正在使用 airodump-ng 和 wireshark(我不是网络专家)。我用 airodump-ng 从我的网络捕获了一些数据包,并想在 wireshark 中打开它们,但它们似乎是乱码(而不是 HTTP 请求之类的东西)。
这是我的操作顺序:
- 运行
airodump-ng --bbsid <myRouterMac> -c 1 -w <filename> <interface> --output-format pcap,在浏览器中发出一些请求(http,而不是 https)并按 Ctrl-C。 - 打开 Wireshark 并打开文件。
- 从 Wireshark 网站生成器添加 WPA-PSK 生成的密钥。
- 尝试各种选项
我期望它能工作,但它却不起作用。可能是什么原因造成的?我该怎么做才能让它工作?
答案1
每当 Wi-Fi 流量捕获看起来像一堆不同的随机 802.2 / LLC 流量且带有大量不同的随机 DSAP 和 SSAP 时,就意味着您的数据包分析器(Wireshark)正在尝试将加密帧解释为就好像它们是纯文本帧一样(即,就好像它们从未加密或已经解密一样)。
就您而言,最可能的原因是,当相关客户端此次加入网络时,您没有捕获到 4 次 WPA/WPA2 握手(EAPOL 密钥帧)。
不太可能的原因可能是您没有在密钥生成器中正确输入您的 WPA/WPA2 密码或 SSID,或者您没有正确复制密钥生成器的输出并将其正确输入到 Wireshark UI 中的相应字段中。
WPA 和 WPA2-PSK 根据 PSK 的组合生成每个客户端、每个会话的密钥(如您所知,PSK 是通过 PBKDF2 从密码和 SSID 派生而来的)结合在连接开始时的 4 次密钥握手期间交换的随机数和其他信息。因此,如果您没有捕获给定连接的 4 次握手,则无法解码来自该连接的任何流量。
答案2
Airodump-ng 捕获 RAW 802.11 帧。您在这里看到的是 802.11 协议。
此处有更详细的解释
http://www.aircrack-ng.org/doku.php?id=airodump-ng
你可能想发布到https://security.stackexchange.com将来。