Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

De Unknown -
Cuando se posee una captura de tráfico en formato .pcap o .cap con el handshake WPA/WPA2 suele suceder que el mismo posee un tamaño grande o excesivamente grande según el tiempo que se haya tardado en obtener el handshake.
Si lo que se desea es un archivo de tráfico con sólamente los paquetes necesarios para hacer el crackeo, a continuación se muestran los pasos que se deberán llevar a cabo para filtrar un archivo de captura mostrando sólo aquellos paquetes necesarios y cómo exportarlo con el fin de obtener un nuevo archivo de captura liviano pero con la información que se desea.


Capturar el Handshake

Un atacante que quiera vulnerar o romper una red WPA/WPA2 debe monitorear todas las tramas que se intercambian en la red inalámbrica durante el proceso de autenticación PSK para obtener los números aleatorios intercambiados. De esta forma se podrá descubrir la clave PSK que se está utilizando en la red para autenticar a los clientes.

Para obtener el intercambio de números aleatorios entre un equipo y el punto de acceso de forma rápida, es decir, sin esperar a que un nuevo equipo se conecte a la red, se lanza un ataque de desasociación de modo que se desconecte el equipo obligándolo a conectarse de nuevo.
Como el airodump va almacenando todo el tráfico se haya o no conseguido el handshake, hay veces en las que el proceso de obtención del mismo puede llegar a tardar y el archivo de captura tiene un peso demasiado grande.

340.402 paquetes de datos sin haber conseguido el handshake 
345.762 paquetes una vez capturado el handshake
En el caso de la imagen anterior se puede observar que se habían capturado 340.402 paquetes y todavía no se había logrado obtener el tan ansioso handshake.
Peso final del archivo de captura
Como se puede observar, una vez que se obtuvo el handshake el archivo de captura pesó ni más ni menos que alrededor de 530 MB, un tamaño descomunal sabiendo que los paquetes necesarios sólo ocuparían unos pocos MB. Por lo tanto la problemática en la cual se centra este artículo es en la siguiente:


Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

Método difícil (pero entendiendo qué se hace)

Si lo que se desea es extraer los paquetes WPA/WPA2 que forman parte de un archivo de captura de tráfico y volcarlo en un archivo separado, esto se puede hacer con Wireshark utilizando el siguiente filtro de visualización:

eapol || wlan_mgt.tag.interpretation == BSSID || (wlan.fc.subtype == 0x08 && wlan_mgt.ssid == "SSID")

Este filtro mostrará lo siguiente:
  • Paquetes EAPOL: Son los generados al negociar un cliente la asociación en la red. Este es un protocolo utilizado en las redes inalámbricas para transportar EAP y EAPOL proviene de EAP Over LAN.
  • Paquetes BSSID: Es necesario tener los paquetes que contienen la MAC del Access Point ya que es un valor necesario en el armado de la clave.
  • Paquetes SSID: Es necesario tener los paquetes que contienen la SSID (el nombre de difusión de la WiFi que hace el Access Point) ya que es un valor necesario en el armado de la clave.
Filtro de visualización aplicado en Wireshark

Cómo obtener el SSID y BSSID del archivo de captura

Si no se ha guardado tanto el BSSID como el SSID cuando se hizo la captura de tráfico no será posible realizar el filtro anterior. Para obtenerlos se deberá abrir el archivo de captura original (el grande) y revisar lo siguiente:

SSID

En los paquetes del tipo Beacon Frame, en la trama IEEE 802.11 wireless LAN management frame > Tagged parameters (X bytes) > Tag: SSID parameter set: XXXXXX aparecerá dicho valor tal como se muestra a continuación:
SSID de la red WiFi

BSSID

En los mismos paquetes que el punto anterior, pero esta vez en la trama IEEE 802.11 Beacon frame, Flags: ........ > Frame Control Field: 0x8000 > BSS Id:

BSSID de la red WiFi

Guardar el nuevo archivo de captura

Una vez que se tenga el filtro aplicado, se deberá guardar lo que se visualiza en formato pcap haciendo click en File > Export Specified Packets y luego asegurarse que la opción Displayed esté seleccionada.

Exportar archivo de captura con filtro aplicado

Exportar archivo de captura con filtro aplicado
De esta forma se tendrá un archivo de tamaño completamente menor al original pero con los paquetes necesarios para poder hacer el crackeo de la clave WPA/WPA2.


Método fácil (sin entender qué se hace)

La suite aircrack-ng tiene muchos comandos o utilidades y uno de ello es wpaclean que quita todos los paquetes que sobran y los guarda en una nueva captura. La forma de emplearlo es la siguiente:

wpaclean <OUT.cap> <IN.cap>

Acortamiento de archivo de captura


Comentarios

Publicar un comentario

Siéntase libre de dejar su comentario a continuación...

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

De pcastagnaro -
Imagen
Quiero compartir con ustedes una utilidad muy importante, tanto para el escaneo de virus como para la recuperación de datos en una PC. Trinity Rescue Kit (TRK) es una distribución Linux que se ejecuta como un LiveCD (es decir, se bootea desde el arranque de la máquina) para poder escanear y chequear los discos duros desde fuera . Si bien se puede chequear cualquier sistema operativo, su uso está dirigido a aquellos sistemas con Windows que pueden haber sido afectados por un virus o con pérdida de datos. Se basa en un kernel de la distro Mandriva para utilizar los comandos y demás. Para remover los virus, utiliza 4 motores de antivirus muy poderosos: BitDefender Scanner, Grisoft AVG, F-prot y Clamav . Un agregado importante es que si tenés una conexión a internet que utilice DHCP, las bases de los antivirus se actualizarán inmediatamente.
Leer más

15 Editores Hexadecimales para Windows y Linux

De pcastagnaro -
Imagen
Esta es una recopilación con los editores hexadecimales que se han ido mencionando para ver sus características más importantes y resumirlas en esta entrada. Pese a que todos son usados para lo mismo, las diferencias entre muchas de ellas son importantes y dependiendo de la situación y los requisitos es posible que se use más de una. Como siempre, lo mejor es descargar una demo de todas e ir probando sus funcionalidades. Al final cada persona aprecia aspectos distintos.
Leer más