ওয়্যারশার্ক ডাব্লুপিএ 4-মুখী হ্যান্ডশেক


13

থেকে এই উইকি পাতা :

ডাব্লুপিএ এবং ডাব্লুপিএ 2 ট্র্যাফিক এনক্রিপ্ট করার জন্য EAPOL হ্যান্ডশেক থেকে প্রাপ্ত কীগুলি ব্যবহার করে। আপনি ডিক্রিপ্ট করার চেষ্টা করছেন সেই সেশনের জন্য যদি চারটি হ্যান্ডশেক প্যাকেট উপস্থিত না থাকে তবে ওয়্যারশার্ক ট্র্যাফিকটি ডিক্রিপ্ট করতে সক্ষম হবে না। আপনি আপনার ক্যাপচারে ইএপিএল প্যাকেটগুলি সনাক্ত করতে ডিসপ্লে ফিল্টার ইপলটি ব্যবহার করতে পারেন।

আমি লক্ষ্য করেছি যে ডিক্রিপশনটি (1, 2, 4) এর সাথেও কাজ করে, তবে (1, 2, 3) এর সাথে নয়। যতদূর আমি জানি প্রথম দুটি প্যাকেট যথেষ্ট, কমপক্ষে ইউনিকাস্ট ট্র্যাফিকের জন্য কী। কেউ দয়া করে ব্যাখ্যা করতে পারেন যে ওয়্যারশার্ক এর সাথে কীভাবে আচরণ করে, অন্য কথায়, চতুর্থ প্যাকেটটি কেবল একটি স্বীকৃতি হিসাবে কেন কেবল প্রাক্তন সিক্যুয়েন্সটি কাজ করে? এছাড়াও, (1, 2, 3, 4) যখন কাজ করবে (1, 2, 4) সর্বদা কাজ করবে তা কি গ্যারান্টিযুক্ত?

পরীক্ষা ক্ষেত্রে

এটি হ'ল জিজেপড হ্যান্ডশেক (1, 2, 4) এবং এনকোডিংয়ে একটি এনক্রিপটেড ARPপ্যাকেট (এসএসআইডি :, SSIDপাসওয়ার্ড password:) base64:

H4sICEarjU8AA2hhbmRzaGFrZS5jYXAAu3J400ImBhYGGPj / n4GhHkhfXNHr37KQgWEqAwQzMAgx
6HkAKbFWzgUMhxgZGDiYrjIwKGUqcW5g4Ldd3rcFQn5IXbWKGaiso4 + + RmSH + + H0MngwLUZMarj4Rn
S8vInf5yfO7mgrMyr9g / Jpa9XVbRdaxH58v1fO3vDCQDkCNv7mFgWMsAwXBHMoEceQ3kSMZbDFDn
ITk1gBnJkeX / GDkRjmyccfus4BKl75HC2cnW1eXrjExNf66uYz + + VGLl + + snrF7j2EnHQy3JjDKPb9
3fOd9zT0TmofYZC4K8YQ8IkR6JaAT0zIJMjxtWaMmCEMdvwNnI5PYEYJYSTHM5EegqhggYbFhgsJ
9gJXy42PMx9JzYKEcFkcG0MJULYE2ZEGrZwHIMnASwc1GSw4mmH1JCCNQYEF7C7tjasVT + + 0 / J3LP
gie59HFL + + 5RDIdmZ8rGMEldN5s668eb / tp8vQ + + 7OrT9jPj / B7425QIGJI3Pft72dLxav8BefvcGU
7 + + kfABxJX + + SjAgAA

এর সাথে ডিকোড করুন:

$ base64 -d | gunzip > handshake.cap

tsharkএটি ARPপ্যাকেটটি সঠিকভাবে ডিক্রিপ্ট করে কিনা তা চালানোর জন্য :

$ tshark -r handshake.cap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-pwd:password:SSID

এটি মুদ্রণ করা উচিত:

  1 0.000000 ডি-লিংক_এ 7: 8 ই: বি 4 -> হনহাইপ্রি 2_2: 09: বি0 EAPOL কী
  2 0.006997 হনহাইপ্রি 2_2: 09: বি0 -> ডি-লিংক_এ 7: 8 ই: বি 4 ইএপল কী
  3 0.038137 হনহাইপ্রি 2_2: 09: বি0 -> ডি-লিংক_এ 7: 8 ই: বি 4 ইপোল কী
  4 0.376050 জেক্সেলকম_68: 3 এ: ই 4 -> হনহাইপিআর_22: 09: বি0 এআরপি 192.168.1.1 হল 00: a0: c5: 68: 3a: e4 এ

এটি হতে পারে না ... এটি অবশ্যই ডিক্রিপ্টিং হবে কারণ এতে চারটি রয়েছে, বা আপনি ওয়াইফাই নেটওয়ার্কের সাথে সংযুক্ত আছেন এবং এটি প্যাকেটগুলি ডিক্রিপ্ট করছে
পল

আমি (স্পষ্টতই) আরএফএমোন মোডে বন্দী প্যাকেটগুলির কথা বলছি।
সিআরস

@ পল: আমি প্রশ্নটি সম্পাদনা করেছি; আপনি কি জবাব দিতে পারবেন?
সিউরাস

আমি মনে করি আমি পারবো. আপনি যদি EAPOL ক্রমটি অনুসরণ করেন তবে ক্লায়েন্টটির কেবলমাত্র প্রথম প্যাকেটের পরে পিটিকে রয়েছে (আনোনাসটি পাস হয়ে গেছে)। এপি দ্বিতীয় প্যাকেটের পরে পিটিকে জানে (স্নোনস)। আপনি যদি এই দুটি পর্যবেক্ষণ করেন এবং ম্যাকগুলি অবশ্যই জানেন যে আপনি অবশ্যই করছেন এবং এসএসিড + পিএসকে, তবে আপনার যা প্রয়োজন তা হ'ল। তৃতীয় প্যাকেটটি সম্প্রচার এবং মাল্টিকাস্টের জন্য কেবল জিটিকে এবং চতুর্থটি কেবল একটি এসিকে। আপনি যদি ইউনিকাস্ট ডিক্রিপ্ট করছেন (যা আরপি-জবাব) তবে প্রথম দুটি প্যাকেট যথেষ্ট হওয়া উচিত। আমি সাহায্য করতে পারি না তবে মনে হয় আমি কিছু মিস করছি কারণ সবকিছু বলছে আপনার চারজনের প্রয়োজন।
পল

আপনি এই সঙ্গে আরও কিছু পেয়েছেন?
পল

উত্তর:


1

EAPOL এক্সচেঞ্জগুলি টেম্পোরাল কীগুলি পুনর্নবীকরণ করতে ব্যবহৃত হয়। নতুন কীগুলি 4/4 প্রেরণের পরে সাপ্লিক্যান্টে ইনস্টল করা হয় এবং 4/4 [1] পেলে প্রমাণীকরণকারীতে ইনস্টল হয়। যদি ওয়্যারশার্ককে অবশ্যই সঠিকভাবে রিকিং পরিচালনা করতে হবে তবে ফ্রেমে 4/4 প্যাকেট পড়ার পরে কেবল কীগুলি ব্যবহার করতে হবে, কারণ প্যাকেটগুলি এখনও রিকিং চলাকালীন প্রবাহিত হতে পারে (এমনকি যেখানে বাফারিংয়ের কারণে তাদের না করা উচিত)

প্রথম 4WHS এর জন্য, 4/4 এর জন্য অপেক্ষা করা সম্ভব নয়, তবে এটি পুরোপুরি বোধগম্য যে তারা এটি প্রয়োগ করতে কেবল অলস ছিলেন। 3/4 টি এখনও প্রয়োজনীয় কারণ এটিতে কী কী রয়েছে (এমনকি যদি আপনি সেগুলিতে আগ্রহী না হন তবে জেনে রাখুন যে আপনি এপি বা কোনও ক্লায়েন্টের কাছে যার জন্য এটির 4WHS এর কোনও অংশ নেই আপনার কাছ থেকে এআরপি অনুরোধগুলি দেখতে পাবেন না) এবং পরিচালনা কীগুলি। আপনি 3/4 এড়িয়েও যেতে পারেন, তবে তারপরে আপনার কাছে কোনও নিশ্চয়তা নেই যে এক্সচেঞ্জটি সফল হয়েছিল, কারণ 3/4 প্রমাণীকরণকারী পিএমকে জানেন কিনা তা যাচাই করতে ব্যবহৃত হয়।

[1] নোট করুন যে বর্তমান স্কিমের সাহায্যে, যদি 4/4 বার্তাটি হারিয়ে যায়, তবে অনুরোধকারী নতুন কীটি ব্যবহার করা শুরু করেছিলেন এবং প্রমাণীকরণকারী এখনও পুরানো কীটি ব্যবহার করে এবং পুরানো কী সহ 3/4 এনক্রিপ্ট করা পুনরায় বিক্রয় সহায়তা করবে না । এই সমস্যাটি, ডাব্লুপিএ 2 সহ অন্যান্যদের মধ্যে, সর্বশেষতম 802.11 2012 স্ট্যান্ডার্ডে দুটি কী কী সমান্তরালে রেখে সমাধান করা হয়েছে।


1

পিটিকে নির্মাণের জন্য প্রয়োজনীয় সমস্ত তথ্যের বিনিময় 1 এবং 2 ধাপে করা হয় এটি ইউনিকাস্ট ট্র্যাফিকটি ডিক্রিপ্ট করার জন্য পর্যাপ্ত হওয়া উচিত।

পদক্ষেপ 3 ব্যতীত আপনার জিটিকে থাকবে না, সুতরাং মাল্টিকাস্ট / সম্প্রচারের ডিক্রিপ্ট করা সম্ভব হবে না।

ক্যাপচার ট্র্যাফিক ডিক্রিপ্ট করার জন্য চতুর্থ ধাপটি সত্যই প্রয়োজনীয় নয়, তবে যদি পদক্ষেপ 4 না হয় তবে ক্লায়েন্ট / এপি এনক্রিপশন ব্যবহার শুরু করবেন না। এর সাথে সাথে ডেটা ডিক্রিপ্ট করার চেষ্টা করার আগে ওয়্যারশার্ক এটিকে কী করতে পারে।


0

ঠিক আছে, স্পষ্টতই ওয়্যারশার্ক ডকুমেন্টেশন ভুল। :-)

এখানে ডকুমেন্টেশন বন্ধ করা :

  • EAPOL 1 এবং 2 এর পরে উভয় পক্ষই অস্থায়ী কীটি জানেন যা ট্র্যাফিকের ডিক্রিপ্ট করার জন্য ব্যবহৃত হবে know
  • তৃতীয় বার্তাটি প্রমাণ দেয় যে উভয় পক্ষই অস্থায়ী কীটি জানে এবং প্রমাণীকরণকারীকে নির্দেশ করে (বেস স্টেশন) টেম্পোরাল কীটি ব্যবহার শুরু করতে প্রস্তুত।
  • চতুর্থ বার্তাটি ইএপিএল-এর প্রাপ্ত পিএমকে থেকে ইএপিএল থেকে প্রাপ্ত টেম্পোরাল কীতে স্যুইচটি ট্রিগার করে

সুতরাং যে, এটি বোধগম্য। ওয়্যারশার্কের কোনও কিছুর জন্য 3 বার্তা প্রয়োজন নেই। এটি 1 এবং 2 বার্তাগুলির পরে কীগুলি জানে, তবে এটি ম্যাসেজ 4 পাওয়ার পরে ট্র্যাফিক ডিক্রিপ্ট করার জন্য এগুলি ব্যবহার শুরু করার জন্য অপেক্ষা করে।

জীবনের কোনও কিছুর কোনও গ্যারান্টি নেই, বিশেষত ফ্রি সফটওয়্যারের আচরণ, তবে এটি একটি যুক্তিসঙ্গত বাজি যে ওয়্যারশার্কের অধিবেশনটি ডিক্রিপ্ট করার জন্য 3 বার্তা উপস্থিত থাকার প্রয়োজন হবে না।


আমার মনে হইতেছে প্যাকেট 4 নয় প্রয়োজনীয় পারেন ডান - এটা শুধু তার জন্য অপেক্ষা করতে ডিজাইন করা হয়েছে।
পল

@ পল, এই ধরণের "বিরাম" পরে "পুনরায় শুরু" বলার দরকার নেই
ওল্ড প্রো

@ ওল্ডপ্রো, আমি নিশ্চিত নই যে 4 for অপেক্ষা করা একটি ভাল ধারণা, বন্দী প্যাকেটগুলি বিশেষত যখন তারা বাতাসে ভ্রমণ করে তখন হারিয়ে যায়।
সিউরাস

@ ক্রিস, 4 এর জন্য অপেক্ষারত অপরিহার্য, কারণ উভয় পক্ষের এক সাথে এনক্রিপশন কীগুলি পরিবর্তন করতে হবে। যদি ক্লায়েন্টটি 4 গ্রহণ করে না, তবে এটি জানে না যে বেসটি 3 পেয়েছে the সংযোগ তৈরি করতে।
ওল্ড প্রো

@ ওল্ডপ্রো: আমি প্রোটোকলের কথা বলছি না। উভয় পক্ষই সমস্ত প্যাকেটগুলি গ্রহণ করতে পারে তবে এগুলি ট্র্যাফিককে প্যাসিভভাবে দখল করে এমন সত্তা দ্বারা এগুলি ফেলে দেওয়া বা ক্যাপচার করা হতে পারে।
cYus

0

এটি এর কারণ ব্যাখ্যা করে না, তবে এয়ারডেস্ক-এনজি ডকুমেন্টেশন থেকে যাই হোক না কেন উদ্ধৃত করে ,

WPA/WPA2 Requirements

The capture file must contain a valid four-way handshake. For this purpose having (packets 2 and 3) or (packets 3 and 4) will work correctly. In fact, you don't truly need all four handshake packets. 
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.