Wiresharkがキャプチャを正常に復号化したかどうかを確認するにはどうすればよいですか
Windows7でMicrosoftNetwork Monitor 3.4を使用して、モニターモードを設定することにより、ワイヤレスgネットワークからキャプチャファイルを作成しました。
Wiresharkにロードすると、4方向のハンドシェイクが表示され、キーツールバーにパスワードを入力できますが、データのように見えるすべてのパケットは「Qosデータ」であり、明確なテキストは表示されません(以下を参照)。
Wiresharkテストの暗号化されたセッションを復号化できます。
私が本当に知りたいのは、Wiresharkでパケットが正常に復号化されており、データパケットがキャプチャされていないかどうかです。
データキャプチャセッションは、ターゲットデバイスを切断して再接続し、ウィキペディアにアクセスして、大量の「テキスト」を生成しようとしている記事をクリックすることから始まりました。
Wireshark IEEE 802.11オプションをいじると、「Qosデータ」パケットのプロトコルがLLCに変更されるだけでした。
参考までに、私は長くて複雑なパスワード/フレーズを持っていますが、すべてASCII文字です。
802.11nおよび802.11acネットワークではQoSが必須であるため、「QoSデータ」はデータパケットの最新タイプです。古いA/B/Gネットワークをスニッフィングしていない限り、プレーンな古い「データ」パケットは表示されないはずです。
QoSデータパケットの内部を見ると、デコーダーはそれらが暗号化されているかどうかを通知するはずです。
私の賭けは、あなたがそれらをうまくデコードしていないということです。さもなければ、あなたはすでにより高いレベルの詳細がデコードされているのを見るでしょう。
あなたが物事をいじってLLCを見るとき、注意すべき重要なことは、それらがすべてLLC/SNAPを示しているかどうか、またはそれらがランダムなDSAPとSSAPを持つ非SNAPLLCであるかどうかです。 SNAPの場合、すべての802.11フレームに802.2 LLC/SNAPサブフレームが含まれているため、適切にデコードできます。ランダムなSSAPとDSAPを備えた非SNAPLLCの場合は、デコードが間違っている可能性があります。ランダムに暗号化されたデータを解釈しようとすると、ランダムなSSAPとDSAPを持つLLCとして表示されることがよくあります。したがって、それが表示されている場合は、ランダムに暗号化されたデータを、復号化されたパケットであるかのように解釈しようとしている可能性があります。
簡単なヒントとして、ウィンドウの下のwiresharkから直接ワイヤレスパケットをキャプチャできます。 Acrylic WiFiソフトウェアをインストールしてから、管理者としてWiresharkを起動します。 Wiresharkは、AcrylicNDISドライバーによってエミュレートされた新しいwirekesネットワークインターフェイスを表示します。アクリルはpcapもサポートし、802.11プロトコルディセクタが含まれています
https://www.acrylicwifi.com/en/wlan-software/wlan-scanner-acrylic-wifi-free/