4 way handshake explained, или зачем нам третий пакет

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 17 Oct 2015.

  1. porfiry

    porfiry Member

    Joined:
    4 Jan 2018
    Messages:
    63
    Likes Received:
    28
    Reputations:
    0
    Хочу уточнить по поводу фильтров в wireshark.
    http://airslax.net/publ/kak_vyrezat_handshake_iz_cap_fajla/1-1-0-1 - тут говорится, что фильтр выдающий все необходимое такой:
    wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x04 || eapol
    (Beacon frame + Probe Request + Key)

    Но в этой теме обсуждалось и приведен фильтр такой:
    wps.wifi_protected_setup_state == 0x02 || eapol
    (Beacon frame + Probe Response + Key)

    Так какой целесообразнее использовать, и что важнее Probe Request или Probe Response?
     
  2. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Важнее Beacon Frame, но если его нет, то хотя бы Probe Response.
    Дело вкуса.
     
    porfiry likes this.
  3. porfiry

    porfiry Member

    Joined:
    4 Jan 2018
    Messages:
    63
    Likes Received:
    28
    Reputations:
    0
    Probe Request вообще лучше не брать в расчет?
     
  4. hydra

    hydra Elder - Старейшина

    Joined:
    24 Jul 2015
    Messages:
    3,362
    Likes Received:
    36,733
    Reputations:
    72
    Фильтр может иметь разную конструкцию,а результат выдавать одинаковый.
    Целесообразней использовать тот,который выдаст Beacon frame,M1,M2,M3,M4.Probe пакеты нужны крайне редко.M4 для перебора не нужен.
     
    porfiry likes this.
  5. Mistral

    Mistral Elder - Старейшина

    Joined:
    30 Aug 2015
    Messages:
    2,950
    Likes Received:
    14,515
    Reputations:
    139
    Оставляйте лучше так
    (Beacon frame + Probe Response + Key)
     
    porfiry likes this.
  6. morlin

    morlin Member

    Joined:
    25 Dec 2015
    Messages:
    242
    Likes Received:
    56
    Reputations:
    0
    Тема ни о чем. Для брута хватит и 2х пакетов. Чтобы узнать валидный шейк просто открываем его в варшарке и смотрим, по моему должно быть 1 и 4 или же 2 и 3 месадж, или все 4 месаджа, кашу маслом не испортишь. Если что то другое значит выкинуть нахер, значит шейк не валидный. Вот так вот всё про100, а вы тут целую нудную заумную десертацыю написали.
     
  7. hydra

    hydra Elder - Старейшина

    Joined:
    24 Jul 2015
    Messages:
    3,362
    Likes Received:
    36,733
    Reputations:
    72
    Тема как раз таки "о чём".Помогает понять,как правильно вырезать валидную сессию,чтобы не греть воздух попусту.
    Должно быть либо M1 M2 (ненадёжно),либо M2 M3 (надёжней),но лучше всего M1 M2 M3.При этом время между ними должно быть минимальным в милисекундах.
     
    #27 hydra, 16 Jan 2018
    Last edited: 20 Jul 2019
  8. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Сразу видно того, кто даже первый пост темы не осилил. o_O
     
    4Fun, Triton_Mgn, Piligrim740 and 5 others like this.
  9. rassvet_ekb

    rassvet_ekb New Member

    Joined:
    30 Dec 2017
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Привет всем!
    Помогите с проблемой?
    Есть куча (большая) cap файлов, в которых есть дубликаты хендшейков.
    Преобразую их с помощью cap2hccapx.
    Code:
        SETLOCAL EnableDelayedExpansion
        for %%f in (*.cap) do (
        @echo "%%f"
        SET s=%%f
        SET m=!s:.cap=!.hccapx
        @echo "!m!"
        cap2hccapx.exe "%%f" "!m!"
    )
    Собираю hccapx файлы в мульти hccapx файл.
    Code:
    copy /b *.hccapx merge.hccapx
    Результат: merge.hccapx содержит большое число дублей хендшейков,
    что сильно затормаживает подбор котом...
    Задача: очистить от дублей хендшейков, на любом этапе.
     
  10. quite gray

    quite gray Banned

    Joined:
    8 Dec 2016
    Messages:
    370
    Likes Received:
    1,612
    Reputations:
    3
    1. А отключать клиента(ов) есть разница какими инструментами или нет? aireplay-ng, mdk3?
    2. besside-ng - это которая в сборке AirSlax работает в автоматическом режиме и собирает все хендшейки в округе в режиме реального времени?
     
  11. hydra

    hydra Elder - Старейшина

    Joined:
    24 Jul 2015
    Messages:
    3,362
    Likes Received:
    36,733
    Reputations:
    72
    По большому счёту,нет.
    Да.Она входит в набор утилит aircrack-ng.
     
    quite gray likes this.
  12. Andrey9999

    Andrey9999 Elder - Старейшина

    Joined:
    23 May 2012
    Messages:
    3,305
    Likes Received:
    32,922
    Reputations:
    75
    не обязательно все - можно конкретный:
    besside-ng -vv -b xx:xx:xx:xx:xx:xx wlan1 (или какой там у тебя wlan)
     
    quite gray likes this.
  13. quite gray

    quite gray Banned

    Joined:
    8 Dec 2016
    Messages:
    370
    Likes Received:
    1,612
    Reputations:
    3
    Насколько я понял - форумчане не приветствуют besside-ng. Хендшейки неполноценные. Остановился на классике пока что: airodump-ng + aireplay-ng.
    Ещё может какие есть методы, инструменты, утилиты для захвата рукопожатий? Подскажите, буду благодарен. Всякого рода комбайны типа AirSlax, WiFiSlax и автоматические bash скрипты отвергаю - только ручками, только хардкор; свитер вяжут - борода растёт :-D
     
    #33 quite gray, 21 Jul 2019
    Last edited: 21 Jul 2019
  14. Andrey9999

    Andrey9999 Elder - Старейшина

    Joined:
    23 May 2012
    Messages:
    3,305
    Likes Received:
    32,922
    Reputations:
    75
    мне например он помогал, когда по-другому не получалось поймать
     
    quite gray likes this.