Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

Cuando se posee una captura de tráfico en formato .pcap o .cap con el handshake WPA/WPA2 suele suceder que el mismo posee un tamaño grande o excesivamente grande según el tiempo que se haya tardado en obtener el handshake.
Si lo que se desea es un archivo de tráfico con sólamente los paquetes necesarios para hacer el crackeo, a continuación se muestran los pasos que se deberán llevar a cabo para filtrar un archivo de captura mostrando sólo aquellos paquetes necesarios y cómo exportarlo con el fin de obtener un nuevo archivo de captura liviano pero con la información que se desea.


Capturar el Handshake

Un atacante que quiera vulnerar o romper una red WPA/WPA2 debe monitorear todas las tramas que se intercambian en la red inalámbrica durante el proceso de autenticación PSK para obtener los números aleatorios intercambiados. De esta forma se podrá descubrir la clave PSK que se está utilizando en la red para autenticar a los clientes.

Para obtener el intercambio de números aleatorios entre un equipo y el punto de acceso de forma rápida, es decir, sin esperar a que un nuevo equipo se conecte a la red, se lanza un ataque de desasociación de modo que se desconecte el equipo obligándolo a conectarse de nuevo.
Como el airodump va almacenando todo el tráfico se haya o no conseguido el handshake, hay veces en las que el proceso de obtención del mismo puede llegar a tardar y el archivo de captura tiene un peso demasiado grande.

340.402 paquetes de datos sin haber conseguido el handshake 
345.762 paquetes una vez capturado el handshake
En el caso de la imagen anterior se puede observar que se habían capturado 340.402 paquetes y todavía no se había logrado obtener el tan ansioso handshake.
Peso final del archivo de captura
Como se puede observar, una vez que se obtuvo el handshake el archivo de captura pesó ni más ni menos que alrededor de 530 MB, un tamaño descomunal sabiendo que los paquetes necesarios sólo ocuparían unos pocos MB. Por lo tanto la problemática en la cual se centra este artículo es en la siguiente:


Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

Método difícil (pero entendiendo qué se hace)

Si lo que se desea es extraer los paquetes WPA/WPA2 que forman parte de un archivo de captura de tráfico y volcarlo en un archivo separado, esto se puede hacer con Wireshark utilizando el siguiente filtro de visualización:

eapol || wlan_mgt.tag.interpretation == BSSID || (wlan.fc.subtype == 0x08 && wlan_mgt.ssid == "SSID")

Este filtro mostrará lo siguiente:
  • Paquetes EAPOL: Son los generados al negociar un cliente la asociación en la red. Este es un protocolo utilizado en las redes inalámbricas para transportar EAP y EAPOL proviene de EAP Over LAN.
  • Paquetes BSSID: Es necesario tener los paquetes que contienen la MAC del Access Point ya que es un valor necesario en el armado de la clave.
  • Paquetes SSID: Es necesario tener los paquetes que contienen la SSID (el nombre de difusión de la WiFi que hace el Access Point) ya que es un valor necesario en el armado de la clave.
Filtro de visualización aplicado en Wireshark

Cómo obtener el SSID y BSSID del archivo de captura

Si no se ha guardado tanto el BSSID como el SSID cuando se hizo la captura de tráfico no será posible realizar el filtro anterior. Para obtenerlos se deberá abrir el archivo de captura original (el grande) y revisar lo siguiente:

SSID

En los paquetes del tipo Beacon Frame, en la trama IEEE 802.11 wireless LAN management frame > Tagged parameters (X bytes) > Tag: SSID parameter set: XXXXXX aparecerá dicho valor tal como se muestra a continuación:
SSID de la red WiFi

BSSID

En los mismos paquetes que el punto anterior, pero esta vez en la trama IEEE 802.11 Beacon frame, Flags: ........ > Frame Control Field: 0x8000 > BSS Id:

BSSID de la red WiFi

Guardar el nuevo archivo de captura

Una vez que se tenga el filtro aplicado, se deberá guardar lo que se visualiza en formato pcap haciendo click en File > Export Specified Packets y luego asegurarse que la opción Displayed esté seleccionada.

Exportar archivo de captura con filtro aplicado

Exportar archivo de captura con filtro aplicado
De esta forma se tendrá un archivo de tamaño completamente menor al original pero con los paquetes necesarios para poder hacer el crackeo de la clave WPA/WPA2.


Método fácil (sin entender qué se hace)

La suite aircrack-ng tiene muchos comandos o utilidades y uno de ello es wpaclean que quita todos los paquetes que sobran y los guarda en una nueva captura. La forma de emplearlo es la siguiente:

wpaclean <OUT.cap> <IN.cap>

Acortamiento de archivo de captura


Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

HTTP Fingerprinting