У меня есть следующие настройки:

MacBook Pro 2012

macOS 10.12.4

В проволочной акуле

Под Capture> Options> Wifi En1 Заголовок канального уровня установлен на 802.11; Монитор и случайный режим включены

Под Wireshark> Протоколы> IEEE 802.11> Ключи расшифровки (я пытаюсь расшифровать Персональный WPA2)

Тип ключа: wpa-pwd

Ключ: пароль:ssid

Я вижу только протокол 802.11, очень мало SSDP, очень мало ICMPv6, очень мало LLC

Я хотел бы видеть протоколы http от моего iPhone рядом со мной.

Если я захожу на веб-сайт на моем Mac, я увижу http, но не с моего iPhone.

Я прикрепил пару изображений:

настройки

Wi-Fi

Спасибо за помощь!

|источник

2 ответа2

1

Чтобы расшифровать трафик, защищенный WPA-PSK или WPA2-PSK, вы должны перехватить рукопожатие с помощью ключа eapol в начале соединения. Поэтому, когда вы пытаетесь захватить трафик вашей собственной машины, вы должны начать захват, прежде чем присоединиться к сети. И даже тогда я не уверен, что это сработает, поскольку пакеты, сгенерированные самим набором микросхем Wi-Fi (в отличие от генерируемых драйвером Wi-Fi, работающим в пространстве ядра macOS), не передаются обратно в macOS для быть переданным в БНФ, поэтому снифферы, как проволочная акула, никогда их не увидят

|источник
1

Вместо того, чтобы пытаться перехватить трафик между моим iPad и маршрутизатором WiFi, я создал на своем компьютере сеть WiFi с общим доступом к подключению к Интернету и настроил iPad на использование созданной мной точки доступа. Мой компьютер также подключен через Ethernet. Поскольку он находится в середине разговора, вместо того, чтобы пытаться подслушивать со стороны, он делает анализ трафика на и с моего iPad гораздо более простым и не требует добавления каких-либо ключей шифрования к моей команде tcpdump .

IPad был назначен IP-адрес 192.168.3.3 на интерфейсе EN1, интерфейсе WiFi моего Mac.

Затем я смог захватить данные, поступающие на мой iPad, без необходимости иметь дело с ключами шифрования, захватывая трафик с 192.168.3.3 на EN1 и обратно.

Я использую tcpdump , но я считаю, что функционал и вывод WireShark похожи ...

[nevin-mac-mini:~] root# tcpdump -i en1 -n -s 1500 host 192.168.3.3
tcpdump: verbose output suppressed, use -v or -vv 
for full protocol decode

listening on en1, link-type EN10MB (Ethernet), capture size 1500 bytes

23:32:02.470713 IP 192.168.3.3.60922 > #.#.#.#.80: 
Flags [P.], seq 1:368, ack 1, win 2058, options
 [nop,nop,TS val 1300636770 ecr 2646279932], 
length 367: HTTP: GET /~nevin/ HTTP/1.1
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .