如何使用Wireshake解密Wi-Fi QoS Data报文?
1. 使用Wireshake解密Wi-Fi数据报文
通常当Wi-Fi发生某些问题时,我们都会抓取Wi-Fi sniffer log,用以协助分析问题,但是如果Wi-Fi使用了加密,则我们无法从sniffer log中获取到IP数据的层级,因为在Wi-Fi报文中,IP数据报文数据Qos Data类型的报文,并且被加密了,所以我们在Wireshake中看到的都是如下的报文格式,无法进行分析。
从上如报文中,我们也无法判断是那个IP报文,更无法解析报文数据层级了。所以就需要对QoS Data报文进行解密,如下我们就开始讲解如何使用Wireshake解密Wi-Fi sniffer报文。
1.1 解析的具体步骤
则在Wireshark中,需要提供预共享密钥 (PSK) 来解密数据包。步骤如下:
- 依次点击Edit > Preferences,然后在左侧栏中选择"Protocols"。
- 在协议列表中找到并选择"IEEE 802.11"。
- 在右侧的"Decryption Keys"部分,点击"Edit..."按钮。
- 在弹出的窗口中点击"New",如果Wi-Fi使用的是WPA/WPA2-PSK的加密方式(WPA3好像也是这种方式),则在"Key Type"中选择"wpa-pwd"。
- 输入格式为"password:ssid"的"PSK"密钥(例如:yourpassword:yourssid)。如下图所示:
- 点击 OK 保存设置。
1.2 启用加密数据解密
在同一个"IEEE 802.11"协议设置页面上,确保勾选"Enable Decryption"。具体如下所示:
1.3 解密后的数据
完成上述步骤后,就可以获得具体的IP数据,可以进行分析。如下所示,是一个ICMP的示例,以供参考:
